Okuduğum belgelerin bazılarına göre, veritabanı motoru başlatıldığında SQL Server hizmet hesabının kerberos kimlik doğrulamasına izin veren bir SPN oluşturacağını okudum. Bir hesabın SPN oluşturmak için hangi izne ihtiyacı olacağını belirten herhangi bir belge bulamadım. Öyleyse, bir SPN oluşturmak için hesabın hangi izinlere sahip olması gerekir (mümkünse alan adı yöneticisini engelleme)?
Yanıtlar:
Bu MSDN makalesine ve @ Handyman5 tarafından yapılan açıklamaya dayanarak, "SPN'leri Değiştirme Yetkisini Devretme" bölümünde belirtilmiştir
Yetki verilen yöneticilerin hizmet asıl adlarını (SPN) yapılandırmasına izin vermeniz gerekiyorsa, kullanıcı hesaplarının Doğrulanmış hizmete yazma ilkesi adı iznine sahip olduğundan emin olmalısınız.
Hizmet ilkesi adı için Doğrulanmış yazma yetkisi verme izni , Domain Admins veya eşdeğer bir gruba Üyelik gerektirir
Son zamanlarda bunu nasıl yapacağımı anladım. SPNS Yazma iznini devretme hakkındaki MSDN makalesindeki adımları izleyin .
Ancak, hesap için MSDN makalesinde belirtilen ve yazma hizmeti asıl adı olan Doğrulanmış Hizmet Asıl Adlarına İzin dışında bir izin daha eklemeniz gerekir .
Bu izni, makalenin size Onaylanmış Hizmete Yazma Asıl Adları (bilgisayar nesneleri, vb. İçin geçerlidir) ile ilgili olarak anlatıldığı şekilde eklemeniz gerekir .
Bu izni ekleyerek, tam denetime, etki alanı yöneticisine veya tüm özellikleri yazmanıza gerek kalmadan SPN özniteliğine yazmanıza olanak tanır.
Yan not olarak, yalnızca Hizmet Asıl Adlarına Doğrulanmış Yazma iznini eklerseniz, bir SPN oluşturmaya çalışırken ve erişim reddedilmediğinde aşağıdaki hatayı alırsınız.
LDAPName hesabına SPN atanamadı başarısız oldu 0x200b / 8203 -> Dizin hizmetine belirtilen öznitelik sözdizimi geçersiz.