Menurut beberapa dokumentasi saya sudah membaca akun layanan untuk SQL server akan membuat SPN ketika mesin database dinyalakan, memungkinkan untuk otentikasi kerberos. Saya belum dapat menemukan dokumentasi yang menyatakan izin apa yang diperlukan akun untuk membuat SPN. Jadi, izin apa yang harus dimiliki akun (kecuali admin domain jika memungkinkan) untuk membuat SPN?
sumber
Jadi saya baru-baru ini menemukan cara untuk melakukan ini. Ikuti langkah-langkah dalam artikel MSDN tentang pendelegasian izin untuk Menulis SPNS.
Namun, Anda perlu menambahkan satu izin lagi untuk akun tersebut selain dari izin Nama Prinsipal Layanan yang Divalidasi yang disebutkan dalam artikel MSDN dan itu adalah nama utama layanan tulis .
Anda perlu menambahkan izin ini dengan cara yang sama persis seperti cara artikel itu menginstruksikan Anda pada Nama-Nama Utama Layanan yang Divalidasi (berlaku untuk objek-objek komputer, dll).
Dengan menambahkan izin ini, Anda dapat menulis ke atribut SPN tanpa perlu kontrol penuh, admin domain, atau menulis semua properti.
Sebagai catatan jika Anda hanya menambahkan izin Penulisan Nama untuk Layanan yang Divalidasi, Anda akan mendapatkan kesalahan berikut saat mencoba membuat SPN dan tidak akses ditolak.
sumber