spn을 만들 수있는 권한


11

일부 문서에 따르면 데이터베이스 엔진이 시작될 때 SQL Server의 서비스 계정이 SPN을 생성하여 Kerberos 인증을 허용합니다. 계정이 SPN을 생성하는 데 필요한 권한을 나타내는 문서를 찾을 수 없습니다. 그렇다면 SPN을 만들려면 계정에 어떤 권한이 있어야합니까 (가능한 경우 도메인 관리자 제외)?

답변:


8

MSDN 기사와 @ Handyman5의 설명에 따라 "SPN 수정 권한 위임"섹션에 설명되어 있습니다.

위임 된 관리자가 SPN (서비스 사용자 이름)을 구성하도록 허용해야하는 경우 해당 사용자 계정에 유효한 서비스 원칙 이름 쓰기 권한 이 있는지 확인해야합니다 .

유효한 쓰기 서비스 원칙 이름 을 위임하려면 권한이 Domain Admins의 구성원이거나 이와 동등한 자격이 있어야합니다.


2
반드시 그런 것은 아닙니다. 귀하가 언급 한 링크는 귀하의 계정이나 그룹에 "유효한 서비스 원칙에 대한 쓰기 원칙"권한을 부여하는 것입니다. OP는 "Keytab Admins"에 대한 그룹을 만들고 모든 도메인 관리자를 만들지 않고도이 권한을 그룹에 위임 할 수 있습니다.
Handyman5

아, "도메인 관리자의 구성원 자격 또는 이와 동등한 자격을 갖추려면이 절차를 완료하는 데 최소 요구 사항이 필요합니다."란 도메인 관리자 권한이 해당 권한을 위임하는 데 필요하지만 필요한 권한은 사용자가 지정한 spn에 쓸 수있는 능력입니까?
billinkc

예, 맞습니다.
Handyman5

다음은 권한이있는 AD 그룹을 만드는 방법을 설명하는 멋진 블로그 게시물입니다. danieladeniji.wordpress.com/2010/08/20/…
Mark Iannucci

3

그래서 나는 최근에 이것을하는 방법을 알아 냈습니다. SPNS 쓰기 권한 위임 에 대한 MSDN 문서 의 단계를 따르십시오 .

그러나 MSDN 기사에 언급되어 있고 서비스 사용자 이름 쓰기 인 Validated Service Principal Names에 대한 쓰기 권한 이외의 계정에 대한 권한을 하나 더 추가해야합니다 .

이 문서에 검증 된 Write to Service Principal Names (컴퓨터 개체 등에 적용) 에 대한 도움말과 동일한 방식으로이 권한을 추가해야합니다 .

이 권한을 추가하면 모든 권한, 도메인 관리자 또는 모든 속성을 작성하지 않고도 SPN 속성에 쓸 수 있습니다.

서비스 주체 이름에 유효한 쓰기 권한 만 추가하면 SPN을 만들려고 시도 할 때 액세스가 거부되지 않고 다음 오류가 발생합니다.

LDAPName 계정에 SPN을 할당하지 못했습니다. 오류 0x200b / 8203-> 디렉토리 서비스에 지정된 속성 구문이 잘못되었습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.