Según parte de la documentación que he leído, la cuenta de servicio para el servidor SQL creará un SPN cuando se inicie el motor de la base de datos, lo que permite la autenticación kerberos. No he podido encontrar ninguna documentación que indique qué permiso necesitaría una cuenta para crear un SPN. Entonces, ¿qué permisos debería tener una cuenta (salvo el administrador del dominio si es posible) para crear un SPN?
Respuestas:
En base a este artículo de MSDN y la aclaración de @ Handyman5, la sección "Delegar autoridad para modificar SPN" establece
Si necesita permitir que los administradores delegados configuren los nombres principales de servicio (SPN), debe asegurarse de que sus cuentas de usuario tengan el permiso de escritura del nombre principal validado de escritura .
El permiso para delegar el nombre principal de escritura validada al servicio requiere Membresía en Administradores de dominio, o equivalente
Así que recientemente descubrí cómo hacer esto. Siga los pasos en el artículo de MSDN sobre cómo delegar el permiso para escribir SPNS.
Sin embargo, debe agregar un permiso más para la cuenta que no sea el permiso Escritura validada para nombres principales de servicio que se menciona en el artículo de MSDN y que es el nombre principal de servicio de escritura .
Debe agregar este permiso exactamente de la misma manera que la forma en que el artículo lo instruye sobre los Nombres principales de escritura validada en el servicio (se aplica a objetos de computadora, etc.).
Al agregar este permiso, le permite escribir en el atributo SPN sin necesidad de control total, administrador de dominio o escribir todas las propiedades.
Como nota al margen, si solo agrega el permiso de Escritura validada a los nombres principales del servicio , recibirá el siguiente error al intentar crear un SPN y no se le negará el acceso.
Error al asignar SPN en la cuenta LDAPName error 0x200b / 8203 -> La sintaxis de atributo especificada para el servicio de directorio no es válida.