none
Sharepoint 2013 права для учетки kerberos RRS feed

  • Вопрос

  • день добрый.  имеется такой пример:

    двух-Уровневая ферма, 1)шарик имя SP-3 2)sql имя SQL-3

    также две учетки "install" - учетка с которой на серверах все устаналвивается и  "ferm" - учетка используется при устанвоке шарика (SharePoint farm service account) 

     доменной учетке для установки: install   ( ей выданы права локального админа на серверах скуля и шарика)

    при установки шарика выбираю антентификацию kerberos, вместо NTLM.  

    далее хочу что  зарегить SPN для обеспечения аутентификации Kerberos

    иду в командную строку от админа запускаю

    setspn -L домен\ferm

    выдает что пусто, окей. идем дальше

    setspn -S HTTP/SP-3.домен.ru домен\ferm

    setspn -S HTTP/SP-3 домен\ferm

    и тут то мне пишет что прав у меня нету зарегить в лес доменный.

    и вот вопрос!  какие права нужно дать учетки Install что бы, можно было спокойно зарегать аунтентификацию???


    • Изменено Dedman2k3 15 сентября 2016 г. 13:15
    15 сентября 2016 г. 13:14

Ответы

  • права доменного админа учетке давать не очень хочется....

    есть какиенить другие варианты??


    Вам не надо давать права для каких то учеток.
    Запустите консоль cmd RUN AS... от имени пользователя админа контроллера(или члена группы Domain Admins и Account Opertors).
    • Предложено в качестве ответа Mikhail Zhuikov 15 сентября 2016 г. 14:45
    • Помечено в качестве ответа Dedman2k3 15 сентября 2016 г. 14:52
    15 сентября 2016 г. 14:35

Все ответы

  • Админ контроллера домена.

    Делегирование, и атрибуты хранятся на уровне контроллера.

    15 сентября 2016 г. 14:05
  • права доменного админа учетке давать не очень хочется....

    есть какиенить другие варианты??


    15 сентября 2016 г. 14:23
  • Минимально необходимое разрешение - для учётной записи install (или группы, в которую она входит) на запись атрибута servicePrincipalName в учётной записи домен\ferm

    Нужными правами обладают доменные группы Domain Admins и Account Opertors. Если не хотите включать эту учётную запись в перечисленные, обладающие большими полномочиями группы, то дайте разрешение  вручную: либо через мастер делегирования для OU, где располагается учётная запись домен\ferm (придётся сделать специальную задачу делегирования), либо, включив режим Вид/Дополнительные функции в консоли "AD Пользователи и компьютеры", - через вкладку Безопасность свойств учётной записи домен\ferm


    Слава России!


    • Изменено M.V.V. _ 15 сентября 2016 г. 14:27
    15 сентября 2016 г. 14:26
  • права доменного админа учетке давать не очень хочется....

    есть какиенить другие варианты??


    Вам не надо давать права для каких то учеток.
    Запустите консоль cmd RUN AS... от имени пользователя админа контроллера(или члена группы Domain Admins и Account Opertors).
    • Предложено в качестве ответа Mikhail Zhuikov 15 сентября 2016 г. 14:45
    • Помечено в качестве ответа Dedman2k3 15 сентября 2016 г. 14:52
    15 сентября 2016 г. 14:35
  • так и сделал пару минут назад. спс)


    16 сентября 2016 г. 6:44