如果这是一个愚蠢的问题,我很乐意关闭它。我正在尝试向 MSSQL Server 实例帐户的 AD 服务(用户)帐户上的 SELF 授予权限。
问题是,根据多个来源的建议,我需要将该 ACE 添加到帐户,但我看不到“读取 ServicePrincipalName/写入 ServicePrincipalName”复选框。
这是因为我使用的是 MSA 用户帐户吗?我还是尝试运行了以下操作,因为我不应该受到复选框的限制...
dsacls "CN=SQL Engine Service,<redacted>" /G SELF:RPWP; "servicePrincipalName"
结果证明是成功的,但我无法验证任何地方是否存在变化。
(get-acl "ad:\CN=SQL Engine Service,OU=Service Accounts,DC=cdn-north,DC=ab,DC=ca").access | where identityreference -eq "NT AUTHORITY\SELF" | select objecttype,activedirectoryrights
ObjectType ActiveDirectoryRights
---------- ---------------------
ab721a53-1e2f-11d0-9819-00aa0040529b ExtendedRight
00000000-0000-0000-0000-000000000000 WriteProperty, GenericRead
e45795b2-9455-11d1-aebd-0000f80367c1 ReadProperty, WriteProperty
e45795b3-9455-11d1-aebd-0000f80367c1 ReadProperty, WriteProperty
ab721a53-1e2f-11d0-9819-00aa0040529b ExtendedRight
ab721a54-1e2f-11d0-9819-00aa0040529b ExtendedRight
ab721a56-1e2f-11d0-9819-00aa0040529b ExtendedRight
77b5b886-944a-11d1-aebd-0000f80367c1 ReadProperty, WriteProperty
ea1b7b93-5e48-46d5-bc6c-4df4fda78a35 WriteProperty
3f78c3e5-f79a-46bd-a0b8-9d18116ddc79 ReadProperty, WriteProperty
91e647de-d96f-4b70-9557-d63ff4f3ccd8 ReadProperty, WriteProperty, ExtendedRight
我希望看到 GUID Service-Principal-Name (f3a64788-5306-11d1-a9c5-0000f80367c1)但它不在那里。
我哪里错了?为什么我无法为域中的用户帐户 sqlengine 添加 ServicePrincipalName 的读写权限?
答案1
如果您尝试通过 Active Directory 用户和计算机 (dsa.msc) 设置这些权限,就会发生这种情况。您需要通过 ADSI Edit (adsiedit.msc) 执行此操作。通过这种方式编辑安全性将允许您查看适当的选项。
这进一步证实了dbamohsin.wordpress.com
在域控制器上,运行 adsiedit.msc(通过常规 dsa.msc 控制台执行此操作不会暴露需要添加的 spn 权限)
不要跳过说明,这一点很重要