कुछ दस्तावेज़ों के अनुसार मैंने SQL सर्वर के लिए सेवा खाता पढ़ा है, जब डेटाबेस इंजन शुरू होता है, तो केरोसीन प्रमाणीकरण के लिए SPN एक SPN बनाएगा। मुझे ऐसा कोई भी दस्तावेज नहीं मिला है जो यह बताता हो कि एसपीएन बनाने के लिए किसी खाते की क्या अनुमति चाहिए। तो, एसपीएन बनाने के लिए किसी खाते की क्या अनुमति होनी चाहिए (यदि संभव हो तो डोमेन एडमिन को रोकना)?
जवाबों:
इस MSDN लेख, और @ Handyman5 द्वारा स्पष्टीकरण के आधार पर , "एसपीएन को संशोधित करने के लिए प्राधिकरण प्राधिकारी" राज्य
यदि आपको प्रत्यायोजित प्रशासकों को सेवा प्रमुख नामों (SPNs) को कॉन्फ़िगर करने की अनुमति देने की आवश्यकता है, तो आपको यह सुनिश्चित करना होगा कि उनके उपयोगकर्ता खातों में सेवा सिद्धांत नाम की अनुमति के लिए मान्य लिखा हो ।
सेवा के सिद्धांत नाम के लिए मान्य लिखावट को सौंपने की अनुमति के लिए डोमेन प्रवेश या समकक्ष में सदस्यता की आवश्यकता होती है
इसलिए मैंने हाल ही में यह पता लगाया कि यह कैसे करना है। SPNS लिखने की अनुमति के बारे में MSDN आलेख में दिए चरणों का पालन करें ।
हालाँकि, आपको वैधानिक लिखें सेवा प्रधान नामों की अनुमति के अलावा खाते के लिए एक और अनुमति जोड़ने की आवश्यकता है जो MSDN लेख में उल्लिखित है और जिसे सेवा प्रधान नाम लिखा गया है ।
आपको इस अनुमति को ठीक उसी अंदाज़ में जोड़ने की ज़रूरत है जैसे कि लेख आपको मान्य प्रिटेड टू सर्विस प्रिंसिपल नेम्स पर कैसे निर्देश देता है (कंप्यूटर ऑब्जेक्ट्स पर लागू होता है, आदि)।
इस अनुमति को जोड़कर यह आपको पूर्ण नियंत्रण, डोमेन व्यवस्थापक की आवश्यकता के बिना SPN विशेषता को लिखने या सभी गुणों को लिखने की अनुमति देता है।
एक साइड नोट के रूप में यदि आप केवल वैलिडएटेड राइट टू सर्विस प्रिंसिपल नेम की अनुमति जोड़ते हैं, तो आपको एसपीएन बनाने की कोशिश करते समय निम्नलिखित त्रुटि मिलेगी और अस्वीकृत नहीं।
LDNName त्रुटि 0x200b / 8203 पर SPN असाइन करने में विफल - निर्देशिका सेवा के लिए निर्दिष्ट विशेषता सिंटैक्स अमान्य है।