Berechtigungen zum Erstellen eines SPN

11

Gemäß einigen der Dokumentationen, die ich gelesen habe, erstellt das Dienstkonto für SQL Server beim Start des Datenbankmoduls einen SPN, der die Kerberos-Authentifizierung ermöglicht. Ich konnte keine Dokumentation finden, aus der hervorgeht, welche Berechtigung ein Konto zum Erstellen eines SPN benötigen würde. Welche Berechtigungen müsste ein Konto haben (außer Domain-Administrator, wenn dies möglich ist), um einen SPN zu erstellen?

active-directory permissions kerberos spn Thirster42
quelle

Antworten:

8

Basierend auf diesem MSDN- Artikel und einer Erläuterung durch @ Handyman5 wird im Abschnitt "Befugnis zum Ändern von SPNs delegieren" angegeben

Wenn Sie delegierten Administratoren erlauben müssen, Dienstprinzipalnamen (SPNs) zu konfigurieren, müssen Sie sicherstellen, dass ihre Benutzerkonten über die Berechtigung Validated Write to Service Principle Name verfügen .

Die Berechtigung zum Delegieren des Namens "Validated Write to Service Principle" erfordert die Mitgliedschaft in Domain Admins oder eine gleichwertige Mitgliedschaft

billinkc
quelle
2
Nicht unbedingt; In dem von Ihnen angegebenen Link wird erwähnt, dass Sie lediglich die Berechtigung "Validated Write to Service Principle Name" an Ihr Konto oder Ihre Gruppe delegieren müssen. OP könnte eine Gruppe für "Keytab-Administratoren" erstellen und diese Berechtigung nur an diese delegieren, ohne dass alle Domänenadministratoren erstellt werden müssen.
Handyman5
Ah, also bedeutet die Zeile "Mitgliedschaft in Domain-Administratoren oder gleichwertig ist das Minimum, das erforderlich ist, um dieses Verfahren abzuschließen", dass Domain-Administrator-Power erforderlich ist, um diese Power zu delegieren, aber das einzige erforderliche Privileg ist die Fähigkeit, auf SPN zu schreiben, die Sie angegeben haben?
Billinkc
Ja das ist richtig.
Handyman5
Hier ist ein schöner Blog-Beitrag, der beschreibt, wie man eine AD-Gruppe mit den Berechtigungen erstellt: danieladeniji.wordpress.com/2010/08/20/…
Mark Iannucci
3

Also habe ich kürzlich herausgefunden, wie das geht. Befolgen Sie die Schritte im MSDN- Artikel zum Delegieren der Berechtigung zum Schreiben von SPNS.

Sie müssen jedoch eine weitere Berechtigung für das Konto hinzufügen, die nicht die Berechtigung Validated Write to Service Principal Names ist, die im MSDN-Artikel erwähnt wird und die den Namen des Write Principal Principal enthält .

Sie müssen diese Berechtigung genauso hinzufügen, wie der Artikel Sie zu den validierten Write to Service-Prinzipalnamen anweist (gilt für Computerobjekte usw.).

Durch Hinzufügen dieser Berechtigung können Sie in das SPN-Attribut schreiben, ohne die vollständige Kontrolle, den Domänenadministrator oder das Schreiben aller Eigenschaften zu benötigen.

Wenn Sie nur die Berechtigung Validated Write to Service Principal Names hinzufügen , wird beim Versuch, einen SPN zu erstellen, die folgende Fehlermeldung angezeigt, und der Zugriff wird nicht verweigert.

Fehler beim Zuweisen des SPN für das Konto LDAPName- Fehler 0x200b / 8203 -> Die für den Verzeichnisdienst angegebene Attributsyntax ist ungültig.

jkdba
quelle