Crea SPN con setspn.exe - Diritti di accesso insufficienti


8

Su un controller di dominio di Windown Server 2008, sto tentando di aggiungere un nome principale di servizio (SPN) a un account utente "Postmaster" per abilitare l'autenticazione Kerberos da un server di posta elettronica comune. La riga di comando che sto usando è nel formato:

setspn -a imap/email-domain.com windows-domain\postmaster

Quando eseguo questo comando, ottengo il risultato:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

Questo è molto curioso, dal momento che ho effettuato l'accesso come utente nel gruppo Domain Admins. Ho controllato i privilegi effettivi per questo account e non riesco a vedere quelli che non sono inclusi. Ho anche provato un altro account amministratore, con lo stesso risultato.

Solo per escluderlo, ho anche aggiunto l'utente Postmaster a Domain Admins, ma nessuna modifica al risultato.

Sto eseguendo questo comando direttamente sull'istanza del controller di dominio. Sono in grado di interrogare SPN senza difficoltà, non riesco proprio a scriverli.

Ho anche tentato di utilizzare ktpass per impostare indirettamente l'SPN sull'utente desiderato, ma ho ricevuto un avviso:

WARNING: Unable to set SPN mapping data.

... che presumo sia un sintomo dello stesso problema di accesso insufficiente.

Cosa potrebbe causare questo errore?

Risposte:


10

Stai eseguendo un prompt dei comandi con privilegi elevati (fai clic con il pulsante destro del mouse, Esegui come amministratore)? In caso contrario, ciò spiegherebbe l'errore.


Grazie. Stavo eseguendo semplicemente il vecchio cmd.exe. L'esecuzione di Powershell come amministratore funzionava davvero.
kbluck,

1
La causa principale del problema è User Access Control, secondo Scott Lowe. blog.scottlowe.org/2007/07/09/uac-and-ktpassexe
kbluck

2
Sì, questo ti morderà anche in Vista / Windows 7. E colpirà cose a cui potresti non pensare, come l'uso di ipconfig per fare qualcosa di diverso dall'elenco della configurazione IP.
K. Brian Kelley,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.