当我在列表中看不到该选项时,如何授予更新 ServicePrincipalName 的权限?

当我在列表中看不到该选项时,如何授予更新 ServicePrincipalName 的权限?

如果这是一个愚蠢的问题,我很乐意关闭它。我正在尝试向 MSSQL Server 实例帐户的 AD 服务(用户)帐户上的 SELF 授予权限。

问题是,根据多个来源的建议,我需要将该 ACE 添加到帐户,但我看不到“读取 ServicePrincipalName/写入 ServicePrincipalName”复选框。

AD 安全检查表的屏幕截图

这是因为我使用的是 MSA 用户帐户吗?我还是尝试运行了以下操作,因为我不应该受到复选框的限制...

dsacls "CN=SQL Engine Service,<redacted>" /G SELF:RPWP; "servicePrincipalName"

结果证明是成功的,但我无法验证任何地方是否存在变化。

(get-acl "ad:\CN=SQL Engine Service,OU=Service Accounts,DC=cdn-north,DC=ab,DC=ca").access | where identityreference -eq "NT AUTHORITY\SELF" | select objecttype,activedirectoryrights

ObjectType                                                                                        ActiveDirectoryRights
----------                                                                                        ---------------------
ab721a53-1e2f-11d0-9819-00aa0040529b                                                                      ExtendedRight
00000000-0000-0000-0000-000000000000                                                         WriteProperty, GenericRead
e45795b2-9455-11d1-aebd-0000f80367c1                                                        ReadProperty, WriteProperty
e45795b3-9455-11d1-aebd-0000f80367c1                                                        ReadProperty, WriteProperty
ab721a53-1e2f-11d0-9819-00aa0040529b                                                                      ExtendedRight
ab721a54-1e2f-11d0-9819-00aa0040529b                                                                      ExtendedRight
ab721a56-1e2f-11d0-9819-00aa0040529b                                                                      ExtendedRight
77b5b886-944a-11d1-aebd-0000f80367c1                                                        ReadProperty, WriteProperty
ea1b7b93-5e48-46d5-bc6c-4df4fda78a35                                                                      WriteProperty
3f78c3e5-f79a-46bd-a0b8-9d18116ddc79                                                        ReadProperty, WriteProperty
91e647de-d96f-4b70-9557-d63ff4f3ccd8                                         ReadProperty, WriteProperty, ExtendedRight

我希望看到 GUID Service-Principal-Name (f3a64788-5306-11d1-a9c5-0000f80367c1)但它不在那里。

我哪里错了?为什么我无法为域中的用户帐户 sqlengine 添加 ServicePrincipalName 的读写权限?

答案1

如果您尝试通过 Active Directory 用户和计算机 (dsa.msc) 设置这些权限,就会发生这种情况。您需要通过 ADSI Edit (adsiedit.msc) 执行此操作。通过这种方式编辑安全性将允许您查看适当的选项。

这进一步证实了dbamohsin.wordpress.com

在域控制器上,运行 adsiedit.msc(通过常规 dsa.msc 控制台执行此操作不会暴露需要添加的 spn 权限)

不要跳过说明,这一点很重要

相关内容