Izin untuk membuat SPN

11

Menurut beberapa dokumentasi saya sudah membaca akun layanan untuk SQL server akan membuat SPN ketika mesin database dinyalakan, memungkinkan untuk otentikasi kerberos. Saya belum dapat menemukan dokumentasi yang menyatakan izin apa yang diperlukan akun untuk membuat SPN. Jadi, izin apa yang harus dimiliki akun (kecuali admin domain jika memungkinkan) untuk membuat SPN?

Thirster42
sumber

Jawaban:

8

Berdasarkan artikel MSDN ini, dan klarifikasi oleh @ Handyman5, bagian "Mendelegasikan Otoritas untuk Memodifikasi SPNs" menyatakan

Jika Anda perlu mengizinkan administrator yang didelegasikan untuk mengonfigurasi nama-nama layanan utama (SPN), Anda harus memastikan bahwa akun pengguna mereka memiliki izin nama prinsip layanan tulis yang divalidasi .

Izin untuk mendelegasikan nama prinsip ke layanan yang divalidasi memerlukan Keanggotaan dalam Admin Domain, atau yang setara

billinkc
sumber
2
Belum tentu; tautan yang Anda berikan menyebutkan bahwa yang Anda butuhkan hanyalah izin "didelegasikan untuk menulis nama layanan" yang didelegasikan ke akun atau grup Anda. OP dapat membuat grup untuk "Admin Keytab" dan mendelegasikan izin ini hanya untuknya tanpa perlu membuat semua orang Domain Admin.
Handyman5
Ah, jadi baris "Keanggotaan dalam Admin Domain, atau yang setara, apakah minimum yang diperlukan untuk menyelesaikan prosedur ini" berarti kekuatan admin domain diperlukan untuk mendelegasikan kekuatan itu tetapi satu-satunya hak istimewa yang diperlukan adalah kemampuan menulis ke spn yang telah Anda sebutkan?
billinkc
Ya itu benar.
Handyman5
Berikut adalah posting blog yang bagus yang menjelaskan cara membuat grup AD yang memiliki izin: danieladeniji.wordpress.com/2010/08/20/…
Mark Iannucci
3

Jadi saya baru-baru ini menemukan cara untuk melakukan ini. Ikuti langkah-langkah dalam artikel MSDN tentang pendelegasian izin untuk Menulis SPNS.

Namun, Anda perlu menambahkan satu izin lagi untuk akun tersebut selain dari izin Nama Prinsipal Layanan yang Divalidasi yang disebutkan dalam artikel MSDN dan itu adalah nama utama layanan tulis .

Anda perlu menambahkan izin ini dengan cara yang sama persis seperti cara artikel itu menginstruksikan Anda pada Nama-Nama Utama Layanan yang Divalidasi (berlaku untuk objek-objek komputer, dll).

Dengan menambahkan izin ini, Anda dapat menulis ke atribut SPN tanpa perlu kontrol penuh, admin domain, atau menulis semua properti.

Sebagai catatan jika Anda hanya menambahkan izin Penulisan Nama untuk Layanan yang Divalidasi, Anda akan mendapatkan kesalahan berikut saat mencoba membuat SPN dan tidak akses ditolak.

Gagal menetapkan SPN pada akun LDAPName error 0x200b / 8203 -> Sintaks atribut yang ditentukan untuk layanan direktori tidak valid.

jkdba
sumber