De acordo com algumas das documentações que li, a conta de serviço do SQL Server criará um SPN quando o mecanismo do banco de dados for iniciado, permitindo a autenticação do Kerberos. Não consegui encontrar nenhuma documentação que indique a permissão que uma conta precisaria para criar um SPN. Então, quais permissões uma conta precisa ter (exceto administrador de domínio, se isso for possível) para criar um SPN?
Com base neste artigo MSDN e esclarecimentos de @ Handyman5 , a seção "delegando autoridade para modificar SPNs" estados
If you need to allow delegated administrators to configure service principal names (SPNs), you must ensure that their user accounts have the Validated write to service principle name permission.
A permissão para delegar "Nome do princípio de gravação para serviço validado" requer "Associação aos administradores de domínio ou equivalente"
Então eu recentemente descobri como fazer isso. Siga as etapas no MSDN artigo sobre como delegar a permissão para gravar SPNS.
No entanto, você precisa adicionar mais uma permissão para a conta que não seja a permissão Gravar gravação para nomes principais de serviço mencionada no artigo do MSDN e que seja nome principal do serviço de gravação .
Você precisa adicionar essa permissão exatamente da mesma forma como o artigo o instrui na Escrita validada para nomes principais de serviço (aplica-se a objetos de computador, etc.).
Ao adicionar essa permissão, você pode gravar no atributo SPN sem precisar de controle total, administrador de domínio ou gravar todas as propriedades.
Como observação, se você adicionar somente a permissão Gravar a permissão para nomes principais de serviço , receberá o seguinte erro ao tentar criar um SPN e não acessar negado.
Failed to assign SPN on account LDAPName error 0x200b/8203 -> The attribute syntax specified to the directory service is invalid.