使用 setspn.exe 创建 SPN - 访问权限不足

使用 setspn.exe 创建 SPN - 访问权限不足

在 Windows Server 2008 域控制器上,我尝试将服务主体名称 (SPN) 添加到用户帐户“Postmaster”,以便从 Communigate 电子邮件服务器启用 Kerberos 身份验证。我使用的命令行格式如下:

setspn -a imap/email-domain.com windows-domain\postmaster

当我运行此命令时,我得到结果:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

这很奇怪,因为我以域管理员组中的用户身份登录。我检查了此帐户的有效权限,但没有看到任何未包含的权限。我还尝试了其他管理员帐户,结果相同。

为了排除这个可能性,我还将用户 Postmaster 添加到了域管理员,但结果没有变化。

我正在域控制器实例上直接运行此命令。我可以毫无困难地查询 SPN,但我似乎无法写入它们。

我还尝试使用 ktpass 间接为所需用户设置 SPN,但收到警告:

WARNING: Unable to set SPN mapping data.

...我认为这是相同访问不足问题的症状。

什么原因可能导致这个错误?

答案1

您是从提升的命令提示符运行的吗(右键单击,以管理员身份运行)?如果不是,那就可以解释错误了。

相关内容