Selon une partie de la documentation que j'ai lue, le compte de service pour SQL Server créera un SPN au démarrage du moteur de base de données, permettant l'authentification Kerberos. Je n'ai pas pu trouver de documentation indiquant quelle autorisation un compte aurait besoin pour créer un SPN. Alors, quelles autorisations un compte devrait-il avoir (sauf si l'administrateur du domaine est possible) pour créer un SPN?
Sur la base de cet article MSDN et des éclaircissements de @ Handyman5, la section «Délégation des pouvoirs de modification des SPN» indique
Si vous devez autoriser les administrateurs délégués à configurer les noms principaux de service (SPN), vous devez vous assurer que leurs comptes d'utilisateur disposent de l' autorisation de nom du principe d'écriture validé sur le service .
L'autorisation de déléguer l' écriture validée au nom du principe de service nécessite l' appartenance aux administrateurs de domaine, ou l'équivalent
J'ai donc récemment découvert comment procéder. Suivez les étapes du article MSDN sur la délégation de l'autorisation d'écrire SPNS.
Toutefois, vous devez ajouter une autorisation supplémentaire pour le compte autre que l' autorisation d' écriture validée pour les noms principaux de service qui est mentionnée dans l'article MSDN et qui est nom principal d'écriture de service .
Vous devez ajouter cette autorisation exactement de la même manière que l'article vous indique sur le noms principaux validés d'écriture dans le service (s'applique aux objets informatiques, etc.).
En ajoutant cette autorisation, elle vous permet d'écrire sur l'attribut SPN sans avoir besoin d'un contrôle total, d'un administrateur de domaine ou d'écrire toutes les propriétés.
Remarque: si vous ajoutez uniquement les noms principaux d'écriture validés au service autorisation d' vous obtiendrez l'erreur suivante lors de la tentative de création d'un SPN et l'accès ne sera pas refusé.
la source