setspn

O utilitário de linha de comando setspn lê, modifica e exclui a propriedade de diretório SPN (Service Principal Names) de uma conta de serviço do Ative Directory (AD). Você usa SPNs para localizar um nome principal de destino para executar um serviço. Você pode usar setspn para exibir os SPNs atuais, redefinir os SPNs padrão da conta e adicionar ou excluir SPNs suplementares. Setspn estará disponível se você tiver a função de servidor Serviços de Domínio Ative Directory (AD DS) instalada. Setspn deve ser executado através de um prompt de comando elevado.

Syntax

setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]

Note

O nome da conta <> pode ser o nome do computador ou domínio\name do computador de destino ou uma conta de usuário. Você pode executar setspn -A para adicionar SPNs, mas deve usásetspn -S em vez disso, pois verifica se não há SPNs duplicados.

Parameters

Parameters	Description
<accountname>	Especifica o objeto de conta do AD desejado para o qual configurar o SPN. Normalmente, o SPN é o nome NetBIOS do computador e, opcionalmente, o domínio que contém a conta do computador. No entanto, qualquer nome de objeto do AD desejado pode ser usado.
-R	Redefine os registros SPN padrão para os nomes de host do computador.
-S	Adiciona o SPN especificado para o computador, depois de verificar que não existem duplicatas.
-D	Exclui o SPN especificado para o computador.
-L	Lista o SPN atualmente registrado para o computador.
-C	Especifica que accountname é uma conta de computador.
-U	Especifica que accountname é uma conta de usuário.
-Q	Consultas para quaisquer SPNs existentes.
-X	Executa uma pesquisa de SPNs duplicados.
-P	Suprime o progresso para o console e pode ser usado ao redirecionar a saída para um arquivo ou quando usado em um script autônomo. Nenhuma saída é exibida até que o comando seja concluído.
-F	Executa consultas na floresta, em vez de no nível do domínio.
-T	Executa uma consulta no domínio especificado (ou floresta quando -F é usado).
-? ou /?	Exibe as informações de ajuda da linha de comando. Se você executar setspn sem esse parâmetro, ele também exibirá as informações de ajuda da linha de comando.

Note

-C e -U são exclusivos. Se nenhum dos dois for especificado, a ferramenta interpretará accountname como um nome de computador, se esse computador existir, e um nome de usuário, se não existir.

Remarks

Os modificadores do Modo de Consulta podem ser usados com a opção -S para especificar onde a verificação de duplicatas deve ser executada antes de adicionar o SPN.

• -T pode ser especificado várias vezes. Para indicar o domínio atual ou uma floresta, use "" ou *.

• -Q é executado em cada domínio ou floresta de destino.

• -X retorna duplicatas que existem em todos os destinos. Os SPNs não precisam ser exclusivos entre florestas, mas SPNs duplicados podem causar problemas de autenticação durante a autenticação entre florestas.

• Os SPNs devem ser construídos usando o nome base da conta especificado como o parâmetro accountname . Se essa condição não for atendida, o serviço de diretório retornará um erro de violação de restrição.

Talvez você não tenha os direitos para acessar ou modificar essa propriedade em alguns objetos de conta. Você pode determinar quais são seus direitos de acesso exibindo os atributos de segurança do objeto de conta usando o MMC (Console de Gerenciamento Microsoft) em Usuários e Computadores do Ative Directory. Você também pode delegar a permissão atribuindo a permissão Gravação validada ao nome da entidade de serviço ao usuário ou grupo desejado.

Os SPNs internos que são reconhecidos para contas de computador são:

alerter         eventlog        netlogon             rpc            snmp
appmgmt         eventsystem     netman               rpclocator     spooler
browser         fax             nmagent              rpcss          tapisrv
cifs            http            oakley               rsvp           time
cisvc           ias             plugplay             samss          trksvr
clipsrv         iisadmin        policyagent          scardsvr       trkwks
dcom            messenger       protectedstorage     scesrv         ups
dhcp            msiserver       rasman               schedule       w3svc
dmserver        mcsvc           remoteaccess         scm            wins
dns             netdde          replicator           seclogon       www
dnscache        netddedsm

Esses SPNs são reconhecidos para contas de computador se o computador tiver um SPN host. A menos que eles sejam explicitamente colocados em objetos, um SPN de host pode substituir qualquer um dos SPNs mencionados.

Os SPNs não diferenciam maiúsculas de minúsculas quando usados por computadores baseados no Microsoft Windows. Qualquer tipo de sistema informático pode utilizar um SPN. Muitos desses sistemas de computador, especialmente sistemas baseados em UNIX, diferenciam maiúsculas de minúsculas e exigem que o caso adequado funcione corretamente. Deve-se ter cuidado para usar o caso adequado, particularmente quando um SPN é usado por um computador não baseado no Windows.

Examples

Para listar todos os SPNs registrados para uma conta, digite:

setspn -L <accountname>

Para redefinir os SPNs de uma conta de computador, digite:

setspn -R <accountname>

Para registrar o SPN http/MyServer para a conta de usuário User01, digite:

setspn -U -S http/MyServer User01

Para adicionar um novo SPN a uma conta de domínio que não tenha um conjunto, digite:

setspn -S http/myserver.mydomain.com myDomain\myServer

Para remover um SPN de uma conta, digite:

setspn -D http/myserver.mydomain.com myDomain\myServer

Para consultar todos os SPNs duplicados em seu domínio e no domínio contoso , digite:

setspn -T * -T contoso -X

Para localizar todos os SPNs associados a MyServer registrados na floresta de domínio contoso , digite:

setspn -T contoso -F -Q */MyServer

See also

• Command-Line chave de sintaxe

• Como configurar o SPN