De acordo com algumas das documentações que li, a conta de serviço do SQL Server criará um SPN quando o mecanismo de banco de dados for inicializado, permitindo a autenticação kerberos. Não consegui encontrar nenhuma documentação que indique qual permissão uma conta precisaria para criar um SPN. Então, quais permissões uma conta precisaria ter (impedindo a administração do domínio, se possível) para criar um SPN?
Respostas:
Com base neste artigo do MSDN e nos esclarecimentos de @ Handyman5, a seção "Delegando Autoridade para Modificar SPNs" declara
Se você precisar permitir que administradores delegados configurem SPNs (nomes principais de serviço), verifique se as contas de usuário deles têm a permissão de nome de princípio de gravação validada no serviço .
A permissão para delegar o nome do princípio de gravação validada no serviço exige a associação a administradores de domínio ou equivalente
Então, eu descobri recentemente como fazer isso. Siga as etapas no artigo do MSDN sobre como delegar a permissão para gravar o SPNS.
No entanto, você precisa adicionar mais uma permissão para a conta que não seja a permissão Gravação validada para nomes principais de serviço mencionada no artigo MSDN e que é o nome principal do serviço de gravação .
Você precisa adicionar essa permissão exatamente da mesma maneira como o artigo o instrui nos Nomes principais de gravação validada no serviço (aplica-se a objetos de computador etc.).
Ao adicionar essa permissão, você pode gravar no atributo SPN sem precisar de controle total, administrador de domínio ou gravar todas as propriedades.
Como observação lateral, se você adicionar apenas a permissão Gravação Validada a Nomes Principais de Serviço , receberá o seguinte erro ao tentar criar um SPN e não ter acesso negado.
Falha ao atribuir o SPN na conta LDAPName erro 0x200b / 8203 -> A sintaxe do atributo especificada no serviço de diretório é inválida.