Windows-Server-2008

使用 setspn.exe 創建 SPN - 訪問權限不足

  • April 11, 2016

在 Windown Server 2008 域控制器上,我嘗試將服務主體名稱 (SPN) 添加到使用者帳戶“Postmaster”,以便從 Communigate 電子郵件伺服器啟用 Kerberos 身份驗證。我使用的命令行是這樣的:

setspn -a imap/email-domain.com windows-domain\postmaster

當我執行這個命令時,我得到了結果:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
   imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

這很奇怪,因為我是作為域管理員組中的使用者登錄的。我檢查了這個帳戶的有效權限,我看不到任何不包括在內的權限。我還嘗試了不同的管理員帳戶,結果相同。

只是為了排除它,我還將使用者 Postmaster 添加到域管理員,但結果沒有改變。

我直接在域控制器實例上執行此命令。我可以毫無困難地查詢 SPN,但我似乎無法編寫它們。

我還嘗試使用 ktpass 間接設置所需使用者的 SPN,但收到警告:

WARNING: Unable to set SPN mapping data.

…我認為這是同樣的訪問不足問題的症狀。

什麼可能導致此錯誤?

您是否從提升的命令提示符執行(右鍵點擊,以管理員身份執行)?如果不是,那將解釋錯誤。

引用自:https://serverfault.com/questions/87982