Jadi saya baru-baru ini menemukan cara untuk melakukan ini. Ikuti langkah-langkah dalam artikel MSDN tentang pendelegasian izin untuk Menulis SPNS.
Namun, Anda perlu menambahkan satu izin lagi untuk akun tersebut selain dari izin Nama Prinsipal Layanan yang Divalidasi yang disebutkan dalam artikel MSDN dan itu adalah nama utama layanan tulis .
Anda perlu menambahkan izin ini dengan cara yang sama persis seperti cara artikel itu menginstruksikan Anda pada Nama-Nama Utama Layanan yang Divalidasi (berlaku untuk objek-objek komputer, dll).
Dengan menambahkan izin ini, Anda dapat menulis ke atribut SPN tanpa perlu kontrol penuh, admin domain, atau menulis semua properti.
Sebagai catatan jika Anda hanya menambahkan izin Penulisan Nama untuk Layanan yang Divalidasi, Anda akan mendapatkan kesalahan berikut saat mencoba membuat SPN dan tidak akses ditolak.
Gagal menetapkan SPN pada akun LDAPName error 0x200b / 8203 -> Sintaks atribut yang ditentukan untuk layanan direktori tidak valid.