Crear SPN con setspn.exe: derechos de acceso insuficientes

8

En un controlador de dominio de Windown Server 2008, intento agregar un nombre principal de servicio (SPN) a una cuenta de usuario 'Postmaster' para habilitar la autenticación Kerberos desde un servidor de correo electrónico de Communigate. La línea de comando que estoy usando tiene la forma:

setspn -a imap/email-domain.com windows-domain\postmaster

Cuando ejecuto este comando, obtengo el resultado:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

Esto es muy curioso, ya que he iniciado sesión como usuario en el grupo Administradores de dominio. Verifiqué los privilegios efectivos para esta cuenta y no puedo ver ninguno que no esté incluido. También probé una cuenta de administrador diferente, con el mismo resultado.

Solo para descartarlo, también agregué el usuario Postmaster a los Administradores de dominio, pero no cambié el resultado.

Estoy ejecutando este comando directamente en la instancia del controlador de dominio. Puedo consultar SPN sin dificultad, parece que no puedo escribirlos.

También intenté usar ktpass para establecer indirectamente el SPN en el usuario deseado, pero recibí una advertencia:

WARNING: Unable to set SPN mapping data.

... que supongo es un síntoma del mismo problema de acceso insuficiente.

¿Qué podría estar causando este error?

kbluck
fuente

Respuestas:

10

¿Está ejecutando desde un símbolo del sistema elevado (clic derecho, Ejecutar como administrador)? Si no, eso explicaría el error.

K. Brian Kelley
fuente
Gracias. Estaba ejecutando el viejo cmd.exe. Ejecutar Powershell como administrador realmente funcionó.
kbluck
1
La causa raíz del problema es el Control de acceso de usuarios, según Scott Lowe. blog.scottlowe.org/2007/07/09/uac-and-ktpassexe
kbluck
2
Sí, esto también lo morderá en Vista / Windows 7. Y afectará a cosas en las que no pienses, como el uso de ipconfig para hacer otra cosa que no sea enumerar la configuración de IP.
K. Brian Kelley el