Compartilhar via

setspn

O utilitário de linha de comando setspn lê, modifica e exclui a propriedade de diretório SPN (Service Principal Names) de uma conta de serviço do Active Directory (AD). Você usa SPNs para localizar um nome de entidade de destino para executar um serviço. Você pode usar setspn para exibir os SPNs atuais, redefinir os SPNs padrão da conta e adicionar ou excluir SPNs complementares. Setspn estará disponível se você tiver a função de servidor AD DS (Active Directory Domain Services) instalada. Setspn deve ser executado por meio de um prompt de comando com privilégios elevados.

Syntax

setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]

Note

O <> de nome de conta pode ser o nome do computador ou domínio\name do computador de destino ou de uma conta de usuário. Você pode executar setspn -A para adicionar SPNs, mas deve usar setspn -S porque verifica se não há SPNs duplicados.

Parameters

Parameters Description
<accountname> Especifica o objeto de conta do AD desejado para o qual configurar o SPN. Normalmente, o SPN é o nome NetBIOS do computador e, opcionalmente, o domínio que contém a conta do computador. No entanto, qualquer nome de objeto do AD desejado pode ser usado.
-R Redefine os registros SPN padrão para os nomes de host do computador.
-S Adiciona o SPN especificado para o computador, depois de verificar se não existem duplicatas.
-D Exclui o SPN especificado para o computador.
-L Lista o SPN registrado no momento para o computador.
-C Especifica que accountname é uma conta de computador.
-U Especifica que accountname é uma conta de usuário.
-Q Consultas para quaisquer SPNs existentes.
-X Executa uma pesquisa de SPNs duplicados.
-P Suprime o progresso para o console e pode ser usado ao redirecionar a saída para um arquivo ou quando usado em um script autônomo. Nenhuma saída é exibida até que o comando seja concluído.
-F Executa consultas na floresta, em vez de nível de domínio.
-T Executa uma consulta no domínio especificado (ou floresta quando -F é usado).
-? ou
/?		 Exibe as informações de ajuda da linha de comando. Se você executar setspn sem esse parâmetro, ele também exibirá as informações de ajuda da linha de comando.

Note

-C e -U são exclusivos. Se nenhum dos dois for especificado, a ferramenta interpretará accountname como um nome de computador se esse computador existir e um nome de usuário se não existir.

Remarks

Os modificadores do Modo de Consulta podem ser usados com a opção -S para especificar onde a verificação de duplicatas deve ser executada antes de adicionar o SPN.

  • -T pode ser especificado várias vezes. Para indicar o domínio atual ou uma floresta, use "" ou *.

  • -Q é executado em cada domínio ou floresta de destino.

  • -X retorna duplicatas que existem em todos os destinos. Os SPNs não são necessários para serem exclusivos entre florestas, mas SPNs duplicados podem causar problemas de autenticação durante a autenticação entre florestas.

  • Os SPNs devem ser construídos usando o nome base da conta especificada como o parâmetro accountname . Se essa condição não for atendida, o serviço de diretório retornará um erro de violação de restrição.

Talvez você não tenha os direitos de acessar ou modificar essa propriedade em alguns objetos de conta. Você pode determinar quais são seus direitos de acesso exibindo os atributos de segurança do objeto de conta usando o Console de Gerenciamento da Microsoft (MMC) em Usuários e Computadores do Active Directory. Você também pode delegar a permissão atribuindo a gravação validada à permissão de nome da entidade de serviço ao usuário ou grupo desejado.

Os SPNs internos reconhecidos para contas de computador são:

alerter         eventlog        netlogon             rpc            snmp
appmgmt         eventsystem     netman               rpclocator     spooler
browser         fax             nmagent              rpcss          tapisrv
cifs            http            oakley               rsvp           time
cisvc           ias             plugplay             samss          trksvr
clipsrv         iisadmin        policyagent          scardsvr       trkwks
dcom            messenger       protectedstorage     scesrv         ups
dhcp            msiserver       rasman               schedule       w3svc
dmserver        mcsvc           remoteaccess         scm            wins
dns             netdde          replicator           seclogon       www
dnscache        netddedsm

Esses SPNs serão reconhecidos para contas de computador se o computador tiver um SPN de host. A menos que sejam explicitamente colocados em objetos, um SPN de host pode substituir qualquer um dos SPNs mencionados.

Os SPNs não diferenciam maiúsculas de minúsculas quando usados por computadores baseados no Microsoft Windows. Qualquer tipo de sistema de computador pode usar um SPN. Muitos desses sistemas de computador, especialmente sistemas baseados em UNIX, diferenciam maiúsculas de minúsculas e exigem que o caso adequado funcione corretamente. Deve-se tomar cuidado para usar o caso adequado, especialmente quando um SPN é usado por um computador não baseado no Windows.

Examples

Para listar todos os SPNs registrados para uma conta, digite:

setspn -L <accountname>

Para redefinir os SPNs de uma conta de computador, digite:

setspn -R <accountname>

Para registrar o SPN http/MyServer para a conta de usuário User01, digite:

setspn -U -S http/MyServer User01

Para adicionar um novo SPN a uma conta de domínio que não tenha um conjunto, digite:

setspn -S http/myserver.mydomain.com myDomain\myServer

Para remover um SPN de uma conta, digite:

setspn -D http/myserver.mydomain.com myDomain\myServer

Para consultar todos os SPNs duplicados em seu domínio e no domínio contoso , digite:

setspn -T * -T contoso -X

Para localizar todos os SPNs associados ao MyServer registrados na floresta de domínio contoso , digite:

setspn -T contoso -F -Q */MyServer

See also

  • Last updated on