Você está executando a partir de um prompt de comando elevado (clique com o botão direito do mouse em Executar como administrador)? Se não, isso explicaria o erro.
Em um Controlador de Domínio do Windown Server 2008, estou tentando adicionar um Nome Principal de Serviço (SPN) a uma conta de usuário 'Postmaster' para habilitar a autenticação Kerberos de um servidor de email do Communigate. A linha de comando que estou usando é da seguinte forma:
setspn -a imap/email-domain.com windows-domain\postmaster
Quando executo este comando, recebo o resultado:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Isso é mais curioso, já que eu estou logado como um usuário no grupo Admins do domínio. Verifiquei privilégios efetivos para essa conta e não vejo nenhum que não esteja incluído. Eu também tentei uma conta de administrador diferente, com o mesmo resultado.
Apenas para descartar, também adicionei o postmaster do usuário aos administradores do domínio, mas não houve alteração no resultado.
Estou executando este comando diretamente na instância do controlador de domínio. Eu posso consultar os SPNs sem dificuldade, apenas não consigo escrevê-los.
Eu também tentei usar o ktpass para definir indiretamente o SPN no usuário desejado, mas recebi um aviso:
WARNING: Unable to set SPN mapping data.
... que eu assumo é um sintoma do mesmo problema de acesso insuficiente.
O que poderia estar causando esse erro?