Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het setspn opdrachtregelprogramma leest, wijzigt en verwijdert de adreslijsteigenschap Service Principal Names (SPN) voor een Ad-serviceaccount (Active Directory). U gebruikt SPN's om een principal-doelnaam te zoeken voor het uitvoeren van een service. U kunt setspn gebruiken om de huidige SPN's weer te geven, de standaard-SPN's van het account opnieuw in te stellen en aanvullende SPN's toe te voegen of te verwijderen.
Setspn is beschikbaar als u de AD DS-serverfunctie (Active Directory Domain Services) hebt geïnstalleerd.
Setspn moet worden uitgevoerd via een opdrachtprompt met verhoogde bevoegdheid.
Syntaxis
setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]
Notitie
De <accountnaam> kan de computernaam of het domein zijn\name van de doelcomputer of een gebruikersaccount. U kunt setspn -A uitvoeren om SPN's toe te voegen, maar u moet in plaats daarvan setspn -S gebruiken omdat er geen dubbele SPN's zijn.
Parameterwaarden
| Parameterwaarden | Beschrijving |
|---|---|
<accountname> |
Hiermee geeft u het gewenste AD-accountobject op waarvoor de SPN moet worden geconfigureerd. Normaal gesproken is de SPN de NetBIOS-naam van de computer en optioneel het domein dat het computeraccount bevat. Elke gewenste AD-objectnaam kan echter worden gebruikt. |
-R |
Hiermee stelt u de standaard SPN-registraties voor de hostnamen voor de computer opnieuw in. |
-S |
Voegt de opgegeven SPN voor de computer toe nadat is gecontroleerd of er geen duplicaten bestaan. |
-D |
Hiermee verwijdert u de opgegeven SPN voor de computer. |
-L |
Een lijst met de momenteel geregistreerde SPN voor de computer. |
-C |
Hiermee geeft u op dat accountname een computeraccount is. |
-U |
Hiermee geeft u op dat accountname een gebruikersaccount is. |
-Q |
Query's voor bestaande SPN's. |
-X |
Voert een zoekopdracht uit van dubbele SPN's. |
-P |
Onderdrukt de voortgang naar de console en kan worden gebruikt bij het omleiden van uitvoer naar een bestand of wanneer deze wordt gebruikt in een script zonder toezicht. Er wordt geen uitvoer weergegeven totdat de opdracht is voltooid. |
-F |
Voert query's uit op forestniveau in plaats van op domeinniveau. |
-T |
Voert een query uit op het opgegeven domein (of forest wanneer -F wordt gebruikt). |
-? of /? |
Geeft de help-informatie over de opdrachtregel weer. Als u setspn zonder deze parameter uitvoert, worden ook de help-informatie over de opdrachtregel weergegeven. |
Notitie
-C en -U zijn exclusief. Als er geen van beide is opgegeven, interpreteert het hulpprogramma accountname als een computernaam als een dergelijke computer bestaat en een gebruikersnaam als dat niet zo is.
Opmerkingen
Wijzigingsfunctie voor querymodus kan worden gebruikt met de schakeloptie -S om op te geven waar de controle op duplicaten moet worden uitgevoerd voordat u de SPN toevoegt.
-Tkan meerdere keren worden opgegeven. Als u het huidige domein of een forest wilt aangeven, gebruikt u""of*.-Qwordt uitgevoerd op elk doeldomein of forest.-Xretourneert duplicaten die voor alle doelen bestaan. SPN's hoeven niet uniek te zijn in forests, maar dubbele SPN's kunnen verificatieproblemen veroorzaken tijdens verificatie tussen forests.SPN's moeten worden samengesteld met behulp van de basisnaam van het account dat is opgegeven als de accountnaam parameter. Als niet aan deze voorwaarde wordt voldaan, retourneert de adreslijstservice een fout met een schending van beperkingen.
Mogelijk hebt u niet de rechten om deze eigenschap voor bepaalde accountobjecten te openen of te wijzigen. U kunt bepalen wat uw toegangsrechten zijn door de beveiligingskenmerken van het accountobject te bekijken met behulp van de Microsoft Management Console (MMC) in Active Directory: gebruikers en computers. U kunt de machtiging ook delegeren door de machtiging gevalideerde schrijfbewerking toe te wijzen aan de gewenste gebruiker of groep.
De ingebouwde SPN's die worden herkend voor computeraccounts zijn:
alerter eventlog netlogon rpc snmp
appmgmt eventsystem netman rpclocator spooler
browser fax nmagent rpcss tapisrv
cifs http oakley rsvp time
cisvc ias plugplay samss trksvr
clipsrv iisadmin policyagent scardsvr trkwks
dcom messenger protectedstorage scesrv ups
dhcp msiserver rasman schedule w3svc
dmserver mcsvc remoteaccess scm wins
dns netdde replicator seclogon www
dnscache netddedsm
Deze SPN's worden herkend voor computeraccounts als de computer een host-SPN heeft. Tenzij ze expliciet op objecten worden geplaatst, kan een host-SPN worden vervangen door een van de genoemde SPN's.
SPN's zijn niet hoofdlettergevoelig wanneer ze worden gebruikt door Microsoft Windows-computers. Elk type computersysteem kan een SPN gebruiken. Veel van deze computersystemen, met name UNIX-systemen, zijn hoofdlettergevoelig en vereisen dat de juiste case correct functioneert. Zorg ervoor dat u het juiste geval gebruikt, met name wanneer een SPN wordt gebruikt door een niet-Windows-computer.
Voorbeelden
Als u alle geregistreerde SPN's voor een account wilt weergeven, typt u:
setspn -L <accountname>
Als u de SPN's voor een computeraccount opnieuw wilt instellen, typt u:
setspn -R <accountname>
Als u de SPN-http/MyServer- wilt registreren voor gebruikersaccounts User01, typt u:
setspn -U -S http/MyServer User01
Als u een nieuwe SPN wilt toevoegen aan een domeinaccount waarvoor geen set is ingesteld, typt u:
setspn -S http/myserver.mydomain.com myDomain\myServer
Als u een SPN uit een account wilt verwijderen, typt u:
setspn -D http/myserver.mydomain.com myDomain\myServer
Als u een query wilt uitvoeren op alle dubbele SPN's in uw domein en de contoso domein, typt u:
setspn -T * -T contoso -X
Als u wilt zoeken naar alle SPN's die zijn gekoppeld aan MyServer geregistreerd in het contoso domeinforest, typt u:
setspn -T contoso -F -Q */MyServer
Zie ook
SPN- configureren