Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'utilità della riga di comando setspn legge, modifica ed elimina la proprietà della directory Nomi entità servizio (SPN) per un account del servizio Active Directory (AD). Usare i nomi SPN per individuare un nome dell'entità di destinazione per l'esecuzione di un servizio. È possibile usare setspn per visualizzare i nomi SPN correnti, reimpostare i nomi SPN predefiniti dell'account e aggiungere o eliminare nomi SPN supplementari.
Setspn è disponibile se è installato il ruolo del server Active Directory Domain Services (AD DS).
Setspn deve essere eseguito tramite un prompt dei comandi con privilegi elevati.
Sintassi
setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]
Nota
Il <nome account> può essere il nome computer o il dominio\name del computer di destinazione o di un account utente. È possibile eseguire setspn -A per aggiungere nomi SPN, ma è consigliabile usare setspn -S perché verifica che non siano presenti NOMI SPN duplicati.
Parametri
| Parametri | Descrizione |
|---|---|
<accountname> |
Specifica l'oggetto account AD desiderato per il quale configurare il nome SPN. In genere, il nome SPN è il nome NetBIOS del computer e, facoltativamente, il dominio che contiene l'account computer. È tuttavia possibile usare qualsiasi nome di oggetto AD desiderato. |
-R |
Reimposta le registrazioni SPN predefinite per i nomi host per il computer. |
-S |
Aggiunge il nome SPN specificato per il computer, dopo aver verificato che non esistano duplicati. |
-D |
Elimina il nome SPN specificato per il computer. |
-L |
Elenca il nome SPN attualmente registrato per il computer. |
-C |
Specifica che accountname è un account computer. |
-U |
Specifica che accountname è un account utente. |
-Q |
Query per qualsiasi SPN esistente. |
-X |
Esegue una ricerca di NOMI SPN duplicati. |
-P |
Elimina lo stato di avanzamento nella console e può essere usato quando si reindirizza l'output a un file o quando viene usato in uno script automatico. Non viene visualizzato alcun output fino al completamento del comando. |
-F |
Esegue query a livello di foresta, anziché a livello di dominio. |
-T |
Esegue una query sul dominio specificato (o foresta quando viene usata -F). |
-? o /? |
Visualizza le informazioni della Guida della riga di comando. Se si esegue setspn senza questo parametro, vengono visualizzate anche le informazioni della Guida della riga di comando. |
Nota
-C e -U sono esclusivi. Se nessuno dei due elementi è specificato, lo strumento interpreta accountname come nome computer se tale computer esiste e un nome utente, se non lo è.
Osservazioni:
I modificatori della modalità query possono essere usati con l'opzione -S per specificare dove devono essere eseguiti i duplicati prima di aggiungere il nome SPN.
-Tpuò essere specificato più volte. Per indicare il dominio corrente o una foresta, usare""o*.-Qviene eseguito in ogni dominio o foresta di destinazione.-Xrestituisce duplicati presenti in tutte le destinazioni. I nomi SPN non devono essere univoci tra foreste, ma i nomi SPN duplicati possono causare problemi di autenticazione durante l'autenticazione tra foreste.I nomi SPN devono essere costruiti usando il nome di base dell'account specificato come parametro nome account. Se questa condizione non viene soddisfatta, il servizio directory restituisce un errore di violazione del vincolo.
È possibile che non si disponga dei diritti di accesso o di modifica di questa proprietà per alcuni oggetti account. È possibile determinare quali sono i diritti di accesso visualizzando gli attributi di sicurezza dell'oggetto account usando Microsoft Management Console (MMC) in Utenti e computer di Active Directory. È anche possibile delegare l'autorizzazione assegnando l'autorizzazione Di scrittura convalidata al nome dell'entità servizio all'utente o al gruppo desiderato.
I nomi SPN predefiniti riconosciuti per gli account computer sono:
alerter eventlog netlogon rpc snmp
appmgmt eventsystem netman rpclocator spooler
browser fax nmagent rpcss tapisrv
cifs http oakley rsvp time
cisvc ias plugplay samss trksvr
clipsrv iisadmin policyagent scardsvr trkwks
dcom messenger protectedstorage scesrv ups
dhcp msiserver rasman schedule w3svc
dmserver mcsvc remoteaccess scm wins
dns netdde replicator seclogon www
dnscache netddedsm
Questi NOMI SPN vengono riconosciuti per gli account computer se il computer dispone di un nome SPN host. A meno che non siano posizionati in modo esplicito su oggetti, un nome SPN host può sostituire uno qualsiasi dei nomi SPN indicati.
I nomi SPN non fanno distinzione tra maiuscole e minuscole quando vengono usati dai computer basati su Microsoft Windows. Qualsiasi tipo di sistema informatico può usare un nome SPN. Molti di questi sistemi informatici, in particolare sistemi basati su UNIX, fanno distinzione tra maiuscole e minuscole e richiedono il corretto funzionamento del caso. Prestare attenzione a usare il caso appropriato in particolare quando un NOME SPN viene usato da un computer non basato su Windows.
Esempi
Per elencare tutti i nomi SPN registrati per un account, digitare:
setspn -L <accountname>
Per reimpostare i nomi SPN per un account computer, digitare:
setspn -R <accountname>
Per registrare il nome SPN http/MyServer per l'account utente User01, digitare:
setspn -U -S http/MyServer User01
Per aggiungere un nuovo NOME SPN a un account di dominio che non dispone di un set, digitare:
setspn -S http/myserver.mydomain.com myDomain\myServer
Per rimuovere un nome SPN da un account, digitare:
setspn -D http/myserver.mydomain.com myDomain\myServer
Per eseguire query su tutti i nomi SPN duplicati nel dominio e sul dominio contoso, digitare:
setspn -T * -T contoso -X
Per trovare tutti i nomi SPN associati a MyServer registrati nella foresta di dominio contoso contoso, digitare:
setspn -T contoso -F -Q */MyServer