Разрешения на создание spn

В соответствии с некоторыми документами, которые я прочитал, учетная запись службы для сервера SQL создаст имя участника-службы при запуске ядра базы данных, что позволит выполнять проверку подлинности Kerberos. Мне не удалось найти какую-либо документацию, в которой указано, какое разрешение потребуется учетной записи для создания имени участника-службы. Итак, какие разрешения должна иметь учетная запись (за исключением администратора домена, если это возможно) для создания имени участника-службы?

Основываясь на этой статье MSDN и разъяснениях @ Handyman5, в разделе «Делегирование полномочий на изменение имен SPN» говорится

Если вам нужно разрешить делегированным администраторам настраивать имена участников службы (SPN), вы должны убедиться, что их учетные записи имеют разрешение на проверку имени принципа записи .

Разрешение на делегирование валидной записи в имя принципа обслуживания требует членства в администраторах домена или эквивалентного

Поэтому я недавно разобрался, как это сделать. Выполните шаги в статье MSDN о делегировании разрешения на запись SPNS.

Однако вам нужно добавить еще одно разрешение для учетной записи, отличное от разрешения Проверенная запись в имена участников службы , которое упоминается в статье MSDN и является именем участника службы записи .

Вы должны добавить это разрешение точно так же, как и в статье, в которой говорится о проверенных записях имен участников службы (относится к объектам компьютеров и т. Д.).

Добавив это разрешение, вы сможете выполнять запись в атрибут SPN без необходимости полного контроля, администрирования домена или записи всех свойств.

В качестве дополнительного примечания, если вы только добавите разрешение « Проверенная запись в имена участников службы», вы получите следующую ошибку при попытке создать имя участника-службы и запретить доступ.

Не удалось назначить имя участника- службы для учетной записи LDAPName. Ошибка 0x200b / 8203 -> Синтаксис атрибута, указанный для службы каталогов, недействителен.