Sur un contrôleur de domaine Windown Server 2008, j'essaie d'ajouter un Service Principal Name (SPN) à un compte d'utilisateur 'Postmaster' afin d'activer l'authentification Kerberos à partir d'un serveur de messagerie Communigate. La ligne de commande que j'utilise est de la forme suivante :
setspn -a imap/email-domain.com windows-domain\postmasterLorsque je lance cette commande, j'obtiens le résultat :
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.C'est très curieux, car je suis connecté en tant qu'utilisateur du groupe Admins du domaine. J'ai vérifié les privilèges effectifs pour ce compte, et je n'en vois aucun qui ne soit pas inclus. J'ai également essayé un autre compte administrateur, avec le même résultat.
Juste pour écarter cette possibilité, j'ai également ajouté l'utilisateur Postmaster à Domain Admins, mais aucun changement dans le résultat.
J'exécute cette commande directement sur l'instance du contrôleur de domaine. Je suis en mesure d'interroger les SPN sans difficulté, mais je ne parviens pas à les écrire.
J'ai également tenté d'utiliser ktpass pour définir indirectement le SPN sur l'utilisateur souhaité, mais j'ai reçu un avertissement :
WARNING: Unable to set SPN mapping data....ce qui, je suppose, est un symptôme du même problème d'accès insuffisant.
Qu'est-ce qui pourrait causer cette erreur ?
