Permisos para crear un spn

11

Según parte de la documentación que he leído, la cuenta de servicio para el servidor SQL creará un SPN cuando se inicie el motor de la base de datos, lo que permite la autenticación kerberos. No he podido encontrar ninguna documentación que indique qué permiso necesitaría una cuenta para crear un SPN. Entonces, ¿qué permisos debería tener una cuenta (salvo el administrador del dominio si es posible) para crear un SPN?

Thirster42
fuente

Respuestas:

8

En base a este artículo de MSDN y la aclaración de @ Handyman5, la sección "Delegar autoridad para modificar SPN" establece

Si necesita permitir que los administradores delegados configuren los nombres principales de servicio (SPN), debe asegurarse de que sus cuentas de usuario tengan el permiso de escritura del nombre principal validado de escritura .

El permiso para delegar el nombre principal de escritura validada al servicio requiere Membresía en Administradores de dominio, o equivalente

billinkc
fuente
2
No necesariamente; el enlace que proporcionó menciona que todo lo que necesita es que se delegue a su cuenta o grupo el permiso "Escritura validada al nombre del principio del servicio". OP podría crear un grupo para "Administradores de tabla de claves" y delegar este permiso solo a él sin necesidad de hacer que todos los administradores de dominio.
Manitas5
Ah, entonces la línea "Membresía en Administradores de Dominio, o equivalente, es el mínimo requerido para completar este procedimiento" significa que se requiere poder de administrador de dominio para delegar ese poder, pero el único privilegio requerido es la habilidad de escribir a spn que has indicado.
billinkc
Si eso es correcto.
Manitas5
Aquí hay una buena publicación de blog que describe cómo crear un grupo de AD que tiene los permisos: danieladeniji.wordpress.com/2010/08/20/…
Mark Iannucci
3

Así que recientemente descubrí cómo hacer esto. Siga los pasos en el artículo de MSDN sobre cómo delegar el permiso para escribir SPNS.

Sin embargo, debe agregar un permiso más para la cuenta que no sea el permiso Escritura validada para nombres principales de servicio que se menciona en el artículo de MSDN y que es el nombre principal de servicio de escritura .

Debe agregar este permiso exactamente de la misma manera que la forma en que el artículo lo instruye sobre los Nombres principales de escritura validada en el servicio (se aplica a objetos de computadora, etc.).

Al agregar este permiso, le permite escribir en el atributo SPN sin necesidad de control total, administrador de dominio o escribir todas las propiedades.

Como nota al margen, si solo agrega el permiso de Escritura validada a los nombres principales del servicio , recibirá el siguiente error al intentar crear un SPN y no se le negará el acceso.

Error al asignar SPN en la cuenta LDAPName error 0x200b / 8203 -> La sintaxis de atributo especificada para el servicio de directorio no es válida.

jkdba
fuente