Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служебная программа командной строки setspn считывает, изменяет и удаляет свойство каталога субъекта-службы для учетной записи службы Active Directory (AD). Имена субъектов-служб используются для поиска целевого имени субъекта для запуска службы. Вы можете использовать setspn для просмотра текущих имен субъектов-служб, сброса имен субъектов-служб по умолчанию и добавления или удаления дополнительных имен субъектов-служб.
Setspn доступен, если у вас установлена роль сервера доменных служб Active Directory (AD DS).
Setspn необходимо выполнить через командную строку с повышенными привилегиями.
Syntax
setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]
Note
Имя учетной записи <> может быть именем компьютера или доменом\nаме целевого компьютера или учетной записи пользователя. Вы можете запустить setspn -A для добавления имен субъектов-служб, но вместо этого следует использовать setspn -S, так как он проверяет отсутствие повторяющихся имен субъектов-служб.
Parameters
| Parameters | Description |
|---|---|
<accountname> |
Указывает нужный объект учетной записи AD, для которого необходимо настроить имя субъекта-службы. Как правило, имя субъекта-службы — это имя netBIOS компьютера, а также домен, содержащий учетную запись компьютера. Однако можно использовать любое требуемое имя объекта AD. |
-R |
Сбрасывает регистрации имени субъекта-службы по умолчанию для имен узлов компьютера. |
-S |
Добавляет указанное имя субъекта-службы для компьютера после проверки того, что дубликаты отсутствуют. |
-D |
Удаляет указанное имя субъекта-службы для компьютера. |
-L |
Выводит список зарегистрированных в настоящее время имени субъекта-службы для компьютера. |
-C |
Указывает, что accountname является учетной записью компьютера. |
-U |
Указывает, что accountname является учетной записью пользователя. |
-Q |
Запрашивает все существующие имена субъектов-служб. |
-X |
Выполняет поиск повторяющихся имен субъектов-служб. |
-P |
Подавляет ход выполнения консоли и может использоваться при перенаправлении выходных данных в файл или при использовании в автоматическом скрипте. Выходные данные не отображаются до завершения команды. |
-F |
Выполняет запросы в лесу, а не на уровне домена. |
-T |
Выполняет запрос к указанному домену (или лесу при использовании -F). |
-? или /? |
Отображает сведения справки командной строки. При запуске setspn без этого параметра также отображаются сведения справки командной строки. |
Note
-C и -U являются эксклюзивными. Если этот параметр не указан, средство интерпретирует accountname как имя компьютера, если такой компьютер существует, и имя пользователя, если оно не указано.
Remarks
Модификаторы режима запроса можно использовать с параметром -S, чтобы указать, где необходимо выполнить проверку дубликата перед добавлением имени участника-службы.
-Tможно указать несколько раз. Чтобы указать текущий домен или лес, используйте""или*.-Qвыполняется в каждом целевом домене или лесу.-Xвозвращает дубликаты, которые существуют во всех целевых объектах. Имена субъектов-служб не должны быть уникальными в лесах, но повторяющиеся имена субъектов-служб могут вызвать проблемы с проверкой подлинности во время проверки подлинности между лесами.Имена SPN должны быть созданы с использованием базового имени учетной записи, указанного в параметре accountname . Если это условие не выполнено, служба каталогов возвращает ошибку нарушения ограничений.
Возможно, у вас нет прав на доступ или изменение этого свойства в некоторых объектах учетной записи. Вы можете определить, какие права доступа являются, просматривая атрибуты безопасности объекта учетной записи с помощью консоли управления Майкрософт (MMC) в active Directory Users and Computers. Вы также можете делегировать разрешение, назначив проверенную запись в имя субъекта-службы разрешения требуемому пользователю или группе.
Встроенные имена субъектов-служб, распознаваемые для учетных записей компьютеров:
alerter eventlog netlogon rpc snmp
appmgmt eventsystem netman rpclocator spooler
browser fax nmagent rpcss tapisrv
cifs http oakley rsvp time
cisvc ias plugplay samss trksvr
clipsrv iisadmin policyagent scardsvr trkwks
dcom messenger protectedstorage scesrv ups
dhcp msiserver rasman schedule w3svc
dmserver mcsvc remoteaccess scm wins
dns netdde replicator seclogon www
dnscache netddedsm
Эти имена субъектов-служб распознаются для учетных записей компьютеров, если у компьютера есть имя субъекта-службы узла. Если они явно не размещены на объектах, имя субъекта-службы узла может заменить любой из упомянутых субъектов-служб.
Имена субъектов-служб не учитывает регистр при использовании компьютеров на основе Microsoft Windows. Любой тип компьютерной системы может использовать имя субъекта-службы. Многие из этих компьютерных систем, особенно систем на основе UNIX, чувствительны к регистру и требуют правильного варианта работы. Будьте внимательны, чтобы использовать правильный случай, особенно если имя субъекта-службы используется компьютером, отличным от Windows.
Examples
Чтобы получить список всех зарегистрированных имен субъектов-служб для учетной записи, введите следующее:
setspn -L <accountname>
Чтобы сбросить имена субъектов-служб для учетной записи компьютера, введите следующее:
setspn -R <accountname>
Чтобы зарегистрировать SPN http/MyServer для учетной записи пользователя User01, введите:
setspn -U -S http/MyServer User01
Чтобы добавить новое имя субъекта-службы в учетную запись домена, которая не имеет одного набора, введите следующее:
setspn -S http/myserver.mydomain.com myDomain\myServer
Чтобы удалить имя участника-службы из учетной записи, введите следующее:
setspn -D http/myserver.mydomain.com myDomain\myServer
Чтобы запросить все повторяющиеся имена субъект-служб в домене и домене contoso , введите:
setspn -T * -T contoso -X
Чтобы найти все имена субъектов-служб, связанные с MyServer , зарегистрированные в лесу доменов contoso , введите:
setspn -T contoso -F -Q */MyServer
See also
Настройка имени субъекта-службы