setspn

Narzędzie wiersza polecenia setspn odczytuje, modyfikuje i usuwa właściwość katalogu Główne nazwy usługi (SPN) dla konta usługi Active Directory (AD). Nazwy SPN służą do lokalizowania docelowej głównej nazwy na potrzeby uruchamiania usługi. Możesz użyć setspn, aby wyświetlić bieżące nazwy SPN, zresetować domyślne nazwy SPN konta i dodać lub usunąć dodatkowe nazwy SPN. Setspn jest dostępna, jeśli masz zainstalowaną rolę serwera usług Domenowych Active Directory (AD DS). Setspn należy stosować wiersz polecenia z podwyższonym poziomem uprawnień.

Składnia

setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]

Uwaga

Nazwa konta <> może być nazwą komputera lub domeny\name komputera docelowego lub konta użytkownika. Możesz uruchomić setspn -A, aby dodać nazwy SPN, ale należy użyć setspn -S zamiast tego, ponieważ sprawdza, czy nie ma zduplikowanych nazw SPN.

Parametry

Parametry	Opis
<accountname>	Określa żądany obiekt konta usługi AD, dla którego ma być skonfigurowana nazwa SPN. Zwykle nazwa SPN jest nazwą NetBIOS komputera i opcjonalnie domeną zawierającą konto komputera. Można jednak użyć dowolnej żądanej nazwy obiektu usługi AD.
-R	Resetuje domyślne rejestracje nazwy SPN dla nazw hostów komputera.
-S	Dodaje określoną nazwę SPN dla komputera po sprawdzeniu, czy nie istnieją duplikaty.
-D	Usuwa określoną nazwę SPN dla komputera.
-L	Wyświetla obecnie zarejestrowaną nazwę SPN dla komputera.
-C	Określa, że accountname jest kontem komputera.
-U	Określa, że accountname jest kontem użytkownika.
-Q	Zapytania dotyczące wszystkich istniejących nazw SPN.
-X	Wykonuje wyszukiwanie zduplikowanych nazw SPN.
-P	Pomija postęp do konsoli i może być używany podczas przekierowywania danych wyjściowych do pliku lub w przypadku użycia w nienadzorowanym skryfcie. Żadne dane wyjściowe nie są wyświetlane do momentu ukończenia polecenia.
-F	Wykonuje zapytania w lesie, a nie na poziomie domeny.
-T	Wykonuje zapytanie w określonej domenie (lub lesie, gdy jest używana -F).
-? lub /?	Wyświetla informacje pomocy wiersza polecenia. Jeśli uruchomisz setspn bez tego parametru, zostanie również wyświetlona informacja pomocy wiersza polecenia.

Uwaga

-C i -U są wyłączne. Jeśli żadna z nich nie zostanie określona, narzędzie interpretuje accountname jako nazwę komputera, jeśli taki komputer istnieje, i nazwę użytkownika, jeśli nie.

Uwagi

Modyfikatory trybu zapytania mogą być używane z przełącznikiem -S w celu określenia, gdzie należy wykonać sprawdzanie duplikatów przed dodaniem nazwy SPN.

• -T można określić wiele razy. Aby wskazać bieżącą domenę lub las, użyj "" lub *.

• -Q jest wykonywana w każdej domenie docelowej lub lesie.

• -X zwraca duplikaty, które istnieją we wszystkich miejscach docelowych. Nazwy SPN nie muszą być unikatowe w lasach, ale zduplikowane nazwy SPN mogą powodować problemy z uwierzytelnianiem między lasami.

• Nazwy SPN muszą być konstruowane przy użyciu podstawowej nazwy konta określonego jako parametr accountname. Jeśli ten warunek nie zostanie spełniony, usługa katalogowa zwróci błąd naruszenia ograniczenia.

Być może nie masz praw dostępu do tej właściwości lub modyfikowania jej w niektórych obiektach konta. Możesz określić, jakie są twoje prawa dostępu, wyświetlając atrybuty zabezpieczeń obiektu konta przy użyciu programu Microsoft Management Console (MMC) w obszarze Użytkownicy i komputery usługi Active Directory. Uprawnienie można również delegować, przypisując zweryfikowane zapis do nazwy głównej usługi do żądanego użytkownika lub grupy.

Wbudowane nazwy SPN rozpoznawane dla kont komputerów to:

alerter         eventlog        netlogon             rpc            snmp
appmgmt         eventsystem     netman               rpclocator     spooler
browser         fax             nmagent              rpcss          tapisrv
cifs            http            oakley               rsvp           time
cisvc           ias             plugplay             samss          trksvr
clipsrv         iisadmin        policyagent          scardsvr       trkwks
dcom            messenger       protectedstorage     scesrv         ups
dhcp            msiserver       rasman               schedule       w3svc
dmserver        mcsvc           remoteaccess         scm            wins
dns             netdde          replicator           seclogon       www
dnscache        netddedsm

Te nazwy SPN są rozpoznawane dla kont komputerów, jeśli komputer ma nazwę SPN hosta. O ile nie zostaną jawnie umieszczone na obiektach, nazwa SPN hosta może zastąpić dowolną z wymienionych nazw SPN.

Nazwy SPN nie są uwzględniane w przypadku użycia przez komputery z systemem Microsoft Windows. Dowolny typ systemu komputerowego może używać nazwy SPN. Wiele z tych systemów komputerowych, zwłaszcza systemów opartych na systemie UNIX, uwzględnia wielkość liter i wymaga prawidłowego działania wielkości liter. Należy zachować ostrożność, aby użyć odpowiedniego przypadku, szczególnie w przypadku, gdy nazwa SPN jest używana przez komputer z systemem innego niż Windows.

Przykłady

Aby wyświetlić listę wszystkich zarejestrowanych nazw SPN dla konta, wpisz:

setspn -L <accountname>

Aby zresetować nazwy SPN dla konta komputera, wpisz:

setspn -R <accountname>

Aby zarejestrować nazwę SPN http/MyServer dla konta użytkownika User01, wpisz:

setspn -U -S http/MyServer User01

Aby dodać nową nazwę SPN do konta domeny, które nie ma jednego zestawu, wpisz:

setspn -S http/myserver.mydomain.com myDomain\myServer

Aby usunąć nazwę SPN z konta, wpisz:

setspn -D http/myserver.mydomain.com myDomain\myServer

Aby odpytować wszystkie zduplikowane nazwy SPN w domenie i domeny contoso, wpisz:

setspn -T * -T contoso -X

Aby znaleźć wszystkie nazwy SPN skojarzone z MyServer zarejestrowane w lesie domeny contoso, wpisz:

setspn -T contoso -F -Q */MyServer

Zobacz też

• Command-Line klucz składni

• Jak skonfigurować spN