Créer un SPN avec setspn.exe - Droits d'accès insuffisants

8

Sur un contrôleur de domaine Windown Server 2008, j'essaie d'ajouter un nom principal de service (SPN) à un compte d'utilisateur «Postmaster» afin d'activer l'authentification Kerberos à partir d'un serveur de messagerie Communigate. La ligne de commande que j'utilise est de la forme:

setspn -a imap/email-domain.com windows-domain\postmaster

Lorsque j'exécute cette commande, j'obtiens le résultat:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

C'est très curieux, car je suis connecté en tant qu'utilisateur dans le groupe Administrateurs de domaine. J'ai vérifié les privilèges effectifs pour ce compte et je ne vois pas ceux qui ne sont pas inclus. J'ai également essayé un autre compte administrateur, avec le même résultat.

Juste pour l'exclure, j'ai également ajouté l'utilisateur Postmaster aux administrateurs de domaine, mais aucun changement dans le résultat.

J'exécute cette commande directement sur l'instance de contrôleur de domaine. Je peux interroger des SPN sans difficulté, je n'arrive pas à les écrire.

J'ai également tenté d'utiliser ktpass pour définir indirectement le SPN sur l'utilisateur souhaité, mais j'ai reçu un avertissement:

WARNING: Unable to set SPN mapping data.

... qui je suppose est un symptôme du même problème d'accès insuffisant.

Quelle pourrait être la cause de cette erreur?

kbluck
la source

Réponses:

10

Exécutez-vous à partir d'une invite de commandes élevée (clic droit, Exécuter en tant qu'administrateur)? Sinon, cela expliquerait l'erreur.

K. Brian Kelley
la source
Merci. J'exécutais plain old cmd.exe. Exécuter Powershell en tant qu'administrateur a effectivement fonctionné.
kbluck
1
Selon Scott Lowe, la cause première du problème est le contrôle d'accès utilisateur. blog.scottlowe.org/2007/07/09/uac-and-ktpassexe
kbluck
2
Oui, cela vous mordra également dans Vista / Windows 7. Et cela frappera des choses auxquelles vous ne pensez peut-être pas, comme l'utilisation d'ipconfig pour faire autre chose que répertorier la configuration IP.
K. Brian Kelley