spnを作成する権限

いくつかのドキュメントによると、SQLサーバーのサービスアカウントを読んだところ、データベースエンジンの起動時にSPNが作成され、Kerberos認証が可能になります。SPNを作成するためにアカウントが必要とする権限を示すドキュメントを見つけることができませんでした。それでは、SPNを作成するために、アカウントにはどのようなアクセス許可が必要ですか（可能な場合はドメイン管理者を除外する）。

このMSDNの記事と@ Handyman5による説明に基づいて、「権限を委任してSPNを変更する」セクションには、

委任された管理者がサービスプリンシパル名（SPN）を構成できるようにする必要がある場合は、ユーザーアカウントにサービスプリンシパル名への検証済みの書き込み権限があることを確認する必要があります。

検証済みの書き込みをサービスプリンシパル名に委任する権限には、ドメイン管理者のメンバーシップまたは同等の権限が必要です

だから私は最近これを行う方法を見つけました。SPNSの書き込み権限の委任に関するMSDN記事の手順に従ってください。

ただし、以外のアカウントのための1つの以上の権限を追加する必要があるサービスプリンシパル名の検証済みの書き込み MSDNの資料に記載されているアクセス許可とそれがある書き込みサービスプリンシパル名。

このアクセス許可は、記事がサービスプリンシパル名への検証された書き込みを指示する方法とまったく同じ方法で追加する必要があります（コンピューターオブジェクトなどに適用されます）。

このアクセス許可を追加することで、フルコントロール、ドメイン管理、またはすべてのプロパティの書き込みを必要とせずに、SPN属性に書き込むことができます。

補足として、サービスプリンシパル名への検証された書き込み権限のみを追加すると、アクセスが拒否されずにSPNを作成しようとすると、次のエラーが発生します。

アカウントLDAPNameエラー0x200b / 8203 にSPNを割り当てることができませんでした->ディレクトリサービスに指定された属性構文が無効です。