Autorisations pour créer un SPN

11

Selon une partie de la documentation que j'ai lue, le compte de service pour SQL Server créera un SPN au démarrage du moteur de base de données, permettant l'authentification Kerberos. Je n'ai pas pu trouver de documentation indiquant quelle autorisation un compte aurait besoin pour créer un SPN. Alors, quelles autorisations un compte devrait-il avoir (sauf si l'administrateur du domaine est possible) pour créer un SPN?

Soif42
la source

Réponses:

8

Sur la base de cet article MSDN et des éclaircissements de @ Handyman5, la section «Délégation des pouvoirs de modification des SPN» indique

Si vous devez autoriser les administrateurs délégués à configurer les noms principaux de service (SPN), vous devez vous assurer que leurs comptes d'utilisateur disposent de l' autorisation de nom du principe d'écriture validé sur le service .

L'autorisation de déléguer l' écriture validée au nom du principe de service nécessite l' appartenance aux administrateurs de domaine, ou l'équivalent

billinkc
la source
2
Pas nécessairement; le lien que vous avez indiqué mentionne que tout ce dont vous avez besoin est d'avoir l'autorisation "Nom de principe d'écriture validé pour le service" déléguée à votre compte ou groupe. OP pourrait créer un groupe pour les "administrateurs de keytab" et lui déléguer cette autorisation sans avoir à faire de tout le monde des administrateurs de domaine.
Homme à tout
Ah, donc la ligne "L'adhésion aux administrateurs de domaine, ou équivalent, est le minimum requis pour terminer cette procédure" signifie que le pouvoir d'administrateur de domaine est requis pour déléguer ce pouvoir, mais le seul privilège requis est la capacité d'écrire sur le SPN que vous avez indiqué?
billinkc
Oui c'est correct.
Homme à tout
Voici un bel article de blog qui décrit comment créer un groupe AD qui a les autorisations: danieladeniji.wordpress.com/2010/08/20/…
Mark Iannucci
3

J'ai donc récemment découvert comment procéder. Suivez les étapes du article MSDN sur la délégation de l'autorisation d'écrire SPNS.

Toutefois, vous devez ajouter une autorisation supplémentaire pour le compte autre que l' autorisation d' écriture validée pour les noms principaux de service qui est mentionnée dans l'article MSDN et qui est nom principal d'écriture de service .

Vous devez ajouter cette autorisation exactement de la même manière que l'article vous indique sur le noms principaux validés d'écriture dans le service (s'applique aux objets informatiques, etc.).

En ajoutant cette autorisation, elle vous permet d'écrire sur l'attribut SPN sans avoir besoin d'un contrôle total, d'un administrateur de domaine ou d'écrire toutes les propriétés.

Remarque: si vous ajoutez uniquement les noms principaux d'écriture validés au service autorisation d' vous obtiendrez l'erreur suivante lors de la tentative de création d'un SPN et l'accès ne sera pas refusé.

Échec de l'attribution du SPN sur le compte LDAPName erreur 0x200b / 8203 -> La syntaxe d'attribut spécifiée pour le service d'annuaire n'est pas valide.

jkdba
la source