Según parte de la documentación que he leído, la cuenta de servicio para el servidor SQL creará un SPN cuando se inicie el motor de la base de datos, lo que permite la autenticación kerberos. No he podido encontrar ninguna documentación que indique qué permiso necesitaría una cuenta para crear un SPN. Entonces, ¿qué permisos debería tener una cuenta (salvo el administrador del dominio si es posible) para crear un SPN?
fuente
Así que recientemente descubrí cómo hacer esto. Siga los pasos en el artículo de MSDN sobre cómo delegar el permiso para escribir SPNS.
Sin embargo, debe agregar un permiso más para la cuenta que no sea el permiso Escritura validada para nombres principales de servicio que se menciona en el artículo de MSDN y que es el nombre principal de servicio de escritura .
Debe agregar este permiso exactamente de la misma manera que la forma en que el artículo lo instruye sobre los Nombres principales de escritura validada en el servicio (se aplica a objetos de computadora, etc.).
Al agregar este permiso, le permite escribir en el atributo SPN sin necesidad de control total, administrador de dominio o escribir todas las propiedades.
Como nota al margen, si solo agrega el permiso de Escritura validada a los nombres principales del servicio , recibirá el siguiente error al intentar crear un SPN y no se le negará el acceso.
fuente