Answers:
基于此MSDN文章,并通过@ Handyman5进行了澄清,“修改SPN的授权机构”部分指出
如果需要允许委派的管理员配置服务主体名称(SPN),则必须确保其用户帐户具有“ 验证到服务主体名称” 写入权限。
委派经过验证的写入服务主体名称的权限需要Domain Admins中的成员身份或同等身份
所以我最近想出了怎么做。请按照MSDN文章中有关委派“写入SPNS”权限的步骤进行操作。
但是,除了MSDN文章中提到的“ 验证的写入服务主体名称”权限外,您还需要为该帐户添加一个权限,即“ 写入服务主体名称”。
您需要以与文章在“经过验证的写入服务主体名称 ”中的指示方式完全相同的方式添加此权限(适用于计算机对象等)。
通过添加此权限,它允许您写入SPN属性,而无需完全控制,域管理员或写入所有属性。
附带说明一下,如果仅添加“ 验证的写入服务主体名称”权限,则在尝试创建SPN且不会拒绝访问时会出现以下错误。
无法在帐户LDAPName上分配SPN,错误0x200b / 8203->为目录服务指定的属性语法无效。