Buat SPN dengan setspn.exe - Hak akses tidak mencukupi

8

Pada Kontroler Domain Windown Server 2008, saya mencoba menambahkan Service Principal Name (SPN) ke akun pengguna 'Postmaster' untuk mengaktifkan otentikasi Kerberos dari server email Communigate. Baris perintah yang saya gunakan adalah dalam bentuk:

setspn -a imap/email-domain.com windows-domain\postmaster

Ketika saya menjalankan perintah ini, saya mendapatkan hasilnya:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

Ini paling aneh, karena saya masuk sebagai pengguna di grup Admin Domain. Saya memeriksa hak istimewa yang efektif untuk akun ini, dan saya tidak bisa melihat ada yang tidak termasuk. Saya juga mencoba akun administrator yang berbeda, dengan hasil yang sama.

Hanya untuk mengesampingkannya, saya juga menambahkan Postmaster pengguna ke Admin Domain, tetapi tidak ada perubahan pada hasilnya.

Saya menjalankan perintah ini langsung pada contoh Domain Controller. Saya dapat meminta SPN tanpa kesulitan, sepertinya saya tidak bisa menulisnya.

Saya juga mencoba menggunakan ktpass untuk secara tidak langsung mengatur SPN pada pengguna yang diinginkan, tetapi menerima peringatan:

WARNING: Unable to set SPN mapping data.

... yang saya asumsikan adalah gejala dari masalah akses tidak mencukupi yang sama.

Apa yang bisa menyebabkan kesalahan ini?

kbluck
sumber

Jawaban:

10

Apakah Anda menjalankan dari prompt perintah yang ditinggikan (klik kanan, Jalankan sebagai Administrator)? Jika tidak, itu akan menjelaskan kesalahan.

K. Brian Kelley
sumber
Terima kasih. Saya menjalankan cmd.exe tua biasa. Menjalankan Powershell sebagai Administrator memang berhasil.
kbluck
1
Akar penyebab masalah ini adalah Kontrol Akses Pengguna, menurut Scott Lowe. blog.scottlowe.org/2007/07/09/uac-and-ktpassexe
kbluck
2
Ya, ini akan menggigit Anda di Vista / Windows 7 juga. Dan itu akan mengenai hal-hal yang mungkin tidak Anda pikirkan, seperti penggunaan ipconfig untuk melakukan apa pun selain daftar konfigurasi IP.
K. Brian Kelley