Sur un contrôleur de domaine Windown Server 2008, j'essaie d'ajouter un nom principal de service (SPN) à un compte d'utilisateur «Postmaster» afin d'activer l'authentification Kerberos à partir d'un serveur de messagerie Communigate. La ligne de commande que j'utilise est de la forme:
setspn -a imap/email-domain.com windows-domain\postmaster
Lorsque j'exécute cette commande, j'obtiens le résultat:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
C'est très curieux, car je suis connecté en tant qu'utilisateur dans le groupe Administrateurs de domaine. J'ai vérifié les privilèges effectifs pour ce compte et je ne vois pas ceux qui ne sont pas inclus. J'ai également essayé un autre compte administrateur, avec le même résultat.
Juste pour l'exclure, j'ai également ajouté l'utilisateur Postmaster aux administrateurs de domaine, mais aucun changement dans le résultat.
J'exécute cette commande directement sur l'instance de contrôleur de domaine. Je peux interroger des SPN sans difficulté, je n'arrive pas à les écrire.
J'ai également tenté d'utiliser ktpass pour définir indirectement le SPN sur l'utilisateur souhaité, mais j'ai reçu un avertissement:
WARNING: Unable to set SPN mapping data.
... qui je suppose est un symptôme du même problème d'accès insuffisant.
Quelle pourrait être la cause de cette erreur?