Su un controller di dominio di Windown Server 2008, sto tentando di aggiungere un nome principale di servizio (SPN) a un account utente "Postmaster" per abilitare l'autenticazione Kerberos da un server di posta elettronica comune. La riga di comando che sto usando è nel formato:
setspn -a imap/email-domain.com windows-domain\postmaster
Quando eseguo questo comando, ottengo il risultato:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Questo è molto curioso, dal momento che ho effettuato l'accesso come utente nel gruppo Domain Admins. Ho controllato i privilegi effettivi per questo account e non riesco a vedere quelli che non sono inclusi. Ho anche provato un altro account amministratore, con lo stesso risultato.
Solo per escluderlo, ho anche aggiunto l'utente Postmaster a Domain Admins, ma nessuna modifica al risultato.
Sto eseguendo questo comando direttamente sull'istanza del controller di dominio. Sono in grado di interrogare SPN senza difficoltà, non riesco proprio a scriverli.
Ho anche tentato di utilizzare ktpass per impostare indirettamente l'SPN sull'utente desiderato, ma ho ricevuto un avviso:
WARNING: Unable to set SPN mapping data.
... che presumo sia un sintomo dello stesso problema di accesso insufficiente.
Cosa potrebbe causare questo errore?