Menurut beberapa dokumentasi saya sudah membaca akun layanan untuk SQL server akan membuat SPN ketika mesin database dinyalakan, memungkinkan untuk otentikasi kerberos. Saya belum dapat menemukan dokumentasi yang menyatakan izin apa yang diperlukan akun untuk membuat SPN. Jadi, izin apa yang harus dimiliki akun (kecuali admin domain jika memungkinkan) untuk membuat SPN?
Jawaban:
Berdasarkan artikel MSDN ini, dan klarifikasi oleh @ Handyman5, bagian "Mendelegasikan Otoritas untuk Memodifikasi SPNs" menyatakan
Jika Anda perlu mengizinkan administrator yang didelegasikan untuk mengonfigurasi nama-nama layanan utama (SPN), Anda harus memastikan bahwa akun pengguna mereka memiliki izin nama prinsip layanan tulis yang divalidasi .
Izin untuk mendelegasikan nama prinsip ke layanan yang divalidasi memerlukan Keanggotaan dalam Admin Domain, atau yang setara
Jadi saya baru-baru ini menemukan cara untuk melakukan ini. Ikuti langkah-langkah dalam artikel MSDN tentang pendelegasian izin untuk Menulis SPNS.
Namun, Anda perlu menambahkan satu izin lagi untuk akun tersebut selain dari izin Nama Prinsipal Layanan yang Divalidasi yang disebutkan dalam artikel MSDN dan itu adalah nama utama layanan tulis .
Anda perlu menambahkan izin ini dengan cara yang sama persis seperti cara artikel itu menginstruksikan Anda pada Nama-Nama Utama Layanan yang Divalidasi (berlaku untuk objek-objek komputer, dll).
Dengan menambahkan izin ini, Anda dapat menulis ke atribut SPN tanpa perlu kontrol penuh, admin domain, atau menulis semua properti.
Sebagai catatan jika Anda hanya menambahkan izin Penulisan Nama untuk Layanan yang Divalidasi, Anda akan mendapatkan kesalahan berikut saat mencoba membuat SPN dan tidak akses ditolak.
Gagal menetapkan SPN pada akun LDAPName error 0x200b / 8203 -> Sintaks atribut yang ditentukan untuk layanan direktori tidak valid.