setspn

2025-03-25
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Kommandoradsverktyget setspn läser, ändrar och tar bort katalogegenskapen Tjänsthuvudnamn (SPN) för ett Active Directory-tjänstkonto (AD). Du använder SPN för att hitta ett målhuvudnamn för att köra en tjänst. Du kan använda setspn för att visa de aktuella SPN:erna, återställa kontots standard-SPN och lägga till eller ta bort tilläggs-SPN. Setspn är tillgängligt om du har serverrollen Active Directory Domain Services (AD DS) installerad. Setspn måste köras via en upphöjd kommandotolk.

Syntax

setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]

Anmärkning

Det <kontonamnet> kan vara datornamnet eller domänen\name för måldatorn eller ett användarkonto. Du kan köra setspn -A för att lägga till SPN, men du bör använda setspn -S i stället eftersom det verifierar att det inte finns några duplicerade SPN.

Parameterar

Parameterar	Beskrivning
`<accountname>`	Anger det önskade AD-kontoobjektet som SPN ska konfigureras för. Normalt är SPN netBIOS-namnet på datorn och eventuellt domänen som innehåller datorkontot. Alla önskade AD-objektnamn kan dock användas.
`-R`	Återställer STANDARD-SPN-registreringarna för värdnamnen för datorn.
`-S`	Lägger till det angivna SPN:t för datorn när du har kontrollerat att det inte finns några dubbletter.
`-D`	Tar bort det angivna SPN:t för datorn.
`-L`	Visar en lista över det för närvarande registrerade SPN:t för datorn.
`-C`	Anger att `accountname` är ett datorkonto.
`-U`	Anger att `accountname` är ett användarkonto.
`-Q`	Frågor om befintliga SPN.
`-X`	Utför en sökning efter duplicerade SPN:er.
`-P`	Undertrycker förloppet till konsolen och kan användas vid omdirigering av utdata till en fil eller när det används i ett obevakat skript. Inga utdata visas förrän kommandot har slutförts.
`-F`	Utför frågor i skogen i stället för på domännivå.
`-T`	Utför en fråga på den angivna domänen (eller skogen när `-F` används).
`-?` eller `/?`	Visar hjälpinformationen för kommandoraden. Om du kör `setspn` utan den här parametern visas även hjälpinformationen för kommandoraden.

Anmärkning

-C och -U är exklusiva. Om inget av dem anges tolkar verktyget accountname som ett datornamn om en sådan dator finns och ett användarnamn om den inte gör det.

Anmärkningar

Modifierare för frågeläge kan användas med växeln -S för att ange var dubbletter ska kontrolleras innan SPN läggs till.

-T kan anges flera gånger. Om du vill ange den aktuella domänen eller en skog använder du "" eller *.
-Q körs på varje måldomän eller skog.
-X returnerar dubbletter som finns i alla mål. SPN:er måste inte vara unika mellan skogar, men duplicerade SPN kan orsaka autentiseringsproblem vid autentisering mellan skogar.
SPN måste konstrueras med basnamnet för det konto som anges som kontonamn parameter. Om det här villkoret inte uppfylls returnerar katalogtjänsten ett fel om begränsningsöverträdelse.

Du kanske inte har behörighet att komma åt eller ändra den här egenskapen för vissa kontoobjekt. Du kan avgöra vilka åtkomsträttigheter du har genom att visa säkerhetsattributen för kontoobjektet med hjälp av Microsoft Management Console (MMC) i Active Directory Användare och datorer. Du kan också delegera behörigheten genom att tilldela behörigheten Validerad skrivning till tjänstens huvudnamn till önskad användare eller grupp.

De inbyggda SPN:er som identifieras för datorkonton är:

alerter         eventlog        netlogon             rpc            snmp
appmgmt         eventsystem     netman               rpclocator     spooler
browser         fax             nmagent              rpcss          tapisrv
cifs            http            oakley               rsvp           time
cisvc           ias             plugplay             samss          trksvr
clipsrv         iisadmin        policyagent          scardsvr       trkwks
dcom            messenger       protectedstorage     scesrv         ups
dhcp            msiserver       rasman               schedule       w3svc
dmserver        mcsvc           remoteaccess         scm            wins
dns             netdde          replicator           seclogon       www
dnscache        netddedsm

Dessa SPN identifieras för datorkonton om datorn har ett värd-SPN. Om de inte uttryckligen placeras på objekt kan ett värd-SPN ersätta något av de nämnda SPN:erna.

SPN:er är inte skiftlägeskänsliga när de används av Microsoft Windows-baserade datorer. Alla typer av datorsystem kan använda ett SPN. Många av dessa datorsystem, särskilt UNIX-baserade system, är skiftlägeskänsliga och kräver rätt fall för att fungera korrekt. Var noga med att använda rätt fall, särskilt när ett SPN används av en icke-Windows-baserad dator.

Exempel

Om du vill visa en lista över alla registrerade SPN:er för ett konto skriver du:

setspn -L <accountname>

Om du vill återställa SPN:erna för ett datorkonto skriver du:

setspn -R <accountname>

Om du vill registrera SPN-http/MyServer- för användarkontot User01skriver du:

setspn -U -S http/MyServer User01

Om du vill lägga till ett nytt SPN till ett domänkonto som inte har en uppsättning skriver du:

setspn -S http/myserver.mydomain.com myDomain\myServer

Om du vill ta bort ett SPN från ett konto skriver du:

setspn -D http/myserver.mydomain.com myDomain\myServer

Om du vill köra frågor mot alla duplicerade SPN:er i domänen och contoso domän skriver du:

setspn -T * -T contoso -X

Om du vill hitta alla SPN:er som är associerade med MyServer registrerade i domänskogen contoso skriver du:

setspn -T contoso -F -Q */MyServer

Dela via

setspn

Syntax

Parameterar

Anmärkningar

Exempel

Se även

Feedback

Ytterligare resurser