Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’utilitaire de ligne de commande setspn lit, modifie et supprime la propriété d’annuaire des noms de principal de service (SPN) d’un compte de service Active Directory (AD). Vous utilisez des SPN pour localiser un nom de principal cible pour l’exécution d’un service. Vous pouvez utiliser setspn pour afficher les SPN actuels, réinitialiser les SPN par défaut du compte et ajouter ou supprimer des spN supplémentaires.
Setspn est disponible si le rôle serveur Active Directory Domain Services (AD DS) est installé.
Setspn devez être exécuté via une invite de commandes avec élévation de privilèges.
Syntaxe
setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]
Remarque
Le nom de compte <> peut être le nom d’ordinateur ou le domaine\name de l’ordinateur cible ou d’un compte d’utilisateur. Vous pouvez exécuter setspn -A pour ajouter des SPN, mais vous devez utiliser setspn -S à la place, car il vérifie qu’il n’existe pas de SPN en double.
Paramètres
| Paramètres | Descriptif |
|---|---|
<accountname> |
Spécifie l’objet de compte AD souhaité pour lequel configurer le SPN. Normalement, le SPN est le nom NetBIOS de l’ordinateur et éventuellement le domaine qui contient le compte d’ordinateur. Toutefois, tout nom d’objet AD souhaité peut être utilisé. |
-R |
Réinitialise les inscriptions spN par défaut pour les noms d’hôte de l’ordinateur. |
-S |
Ajoute le SPN spécifié pour l’ordinateur, après avoir vérifié qu’aucun doublon n’existe. |
-D |
Supprime le SPN spécifié pour l’ordinateur. |
-L |
Répertorie le SPN actuellement inscrit pour l’ordinateur. |
-C |
Spécifie que accountname est un compte d’ordinateur. |
-U |
Spécifie que accountname est un compte d’utilisateur. |
-Q |
Requêtes pour tous les SPN existants. |
-X |
Effectue une recherche de spN dupliqués. |
-P |
Supprime la progression de la console et peut être utilisée lors de la redirection de la sortie vers un fichier ou lorsqu’elle est utilisée dans un script sans assistance. Aucune sortie n’est affichée tant que la commande n’est pas terminée. |
-F |
Effectue des requêtes au niveau de la forêt, plutôt que au niveau du domaine. |
-T |
Effectue une requête sur le domaine spécifié (ou forêt quand -F est utilisé). |
-? ou /? |
Affiche les informations d’aide sur la ligne de commande. Si vous exécutez setspn sans ce paramètre, il affiche également les informations d’aide sur la ligne de commande. |
Remarque
-C et -U sont exclusifs. Si aucun des deux éléments n’est spécifié, l’outil interprète accountname en tant que nom d’ordinateur s’il existe un tel ordinateur et un nom d’utilisateur s’il ne le fait pas.
Remarques
Les modificateurs en mode requête peuvent être utilisés avec le commutateur -S afin de spécifier l’emplacement où la vérification des doublons doit être effectuée avant d’ajouter le SPN.
-Tpouvez être spécifié plusieurs fois. Pour indiquer le domaine actuel ou une forêt, utilisez""ou*.-Qs’exécute sur chaque domaine ou forêt cible.-Xretourne des doublons qui existent sur toutes les cibles. Les SPN ne sont pas obligatoires pour être uniques entre les forêts, mais les spN en double peuvent provoquer des problèmes d’authentification lors de l’authentification entre forêts.Les spN doivent être construits à l’aide du nom de base du compte spécifié comme paramètre accountname. Si cette condition n’est pas remplie, le service d’annuaire retourne une erreur de violation de contrainte.
Vous n’avez peut-être pas les droits d’accès ou de modification de cette propriété sur certains objets de compte. Vous pouvez déterminer les droits d’accès en consultant les attributs de sécurité de l’objet de compte à l’aide de la console MMC (Microsoft Management Console) dans Les utilisateurs et ordinateurs Active Directory. Vous pouvez également déléguer l’autorisation en affectant l’autorisation d’écriture validée au nom du principal de service à l’utilisateur ou au groupe souhaité.
Les SPN intégrés reconnus pour les comptes d’ordinateur sont les suivants :
alerter eventlog netlogon rpc snmp
appmgmt eventsystem netman rpclocator spooler
browser fax nmagent rpcss tapisrv
cifs http oakley rsvp time
cisvc ias plugplay samss trksvr
clipsrv iisadmin policyagent scardsvr trkwks
dcom messenger protectedstorage scesrv ups
dhcp msiserver rasman schedule w3svc
dmserver mcsvc remoteaccess scm wins
dns netdde replicator seclogon www
dnscache netddedsm
Ces SPN sont reconnus pour les comptes d’ordinateur si l’ordinateur a un SPN hôte. À moins qu’ils ne soient explicitement placés sur des objets, un SPN hôte peut remplacer l’un des SPN mentionnés.
Les SPN ne respectent pas la casse lorsqu’ils sont utilisés par les ordinateurs Microsoft Windows. N’importe quel type de système informatique peut utiliser un SPN. La plupart de ces systèmes informatiques, en particulier les systèmes UNIX, respectent la casse et nécessitent que le cas approprié fonctionne correctement. Veillez à utiliser le cas approprié, en particulier lorsqu’un SPN est utilisé par un ordinateur non Windows.
Exemples
Pour répertorier tous les SPN inscrits pour un compte, tapez :
setspn -L <accountname>
Pour réinitialiser les SPN d’un compte d’ordinateur, tapez :
setspn -R <accountname>
Pour inscrire le spN http/MyServer pour le compte d’utilisateur user01, tapez :
setspn -U -S http/MyServer User01
Pour ajouter un nouveau SPN à un compte de domaine qui n’a pas d’ensemble, tapez :
setspn -S http/myserver.mydomain.com myDomain\myServer
Pour supprimer un SPN d’un compte, tapez :
setspn -D http/myserver.mydomain.com myDomain\myServer
Pour interroger tous les spN dupliqués dans votre domaine et le contoso domaine, tapez :
setspn -T * -T contoso -X
Pour rechercher tous les SPN associés à MyServer inscrits dans la forêt de domaine contoso, tapez :
setspn -T contoso -F -Q */MyServer