На контроллере домена Windown Server 2008 я пытаюсь добавить имя участника службы (SPN) в учетную запись пользователя «Postmaster», чтобы включить проверку подлинности Kerberos с сервера электронной почты Communigate. Используемая мной командная строка имеет вид:
setspn -a imap/email-domain.com windows-domain\postmaster
Когда я запускаю эту команду, я получаю результат:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Это очень любопытно, поскольку я вошел в систему как пользователь в группе «Администраторы домена». Я проверил действующие привилегии для этой учетной записи, и я не вижу никаких, которые не включены. Я также попробовал другую учетную запись администратора, с тем же результатом.
Просто чтобы исключить это, я также добавил пользователя Postmaster в администраторы домена, но без изменений в результате.
Я запускаю эту команду непосредственно на экземпляре контроллера домена. Я могу без проблем запрашивать имена SPN, просто не могу их написать.
Я также попытался использовать ktpass для косвенной установки имени участника-службы на нужного пользователя, но получил предупреждение:
WARNING: Unable to set SPN mapping data.
... который, я полагаю, является признаком той же проблемы недостаточного доступа.
Что может быть причиной этой ошибки?