setpn

Статья
2025-03-25
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Служебная программа командной строки setspn считывает, изменяет и удаляет свойство каталога субъекта-службы для учетной записи службы Active Directory (AD). Имена субъектов-служб используются для поиска целевого имени субъекта для запуска службы. Вы можете использовать setspn для просмотра текущих имен субъектов-служб, сброса имен субъектов-служб по умолчанию и добавления или удаления дополнительных имен субъектов-служб. Setspn доступен, если у вас установлена роль сервера доменных служб Active Directory (AD DS). Setspn необходимо выполнить через командную строку с повышенными привилегиями.

Синтаксис

setspn <modifiers switch> <accountname> [-R] [-S] [-D] [-L] [-C] [-U] [-Q] [-X] [-P] [-F] [-T] [-?] [/?]

Примечание.

Имя учетной записи <> может быть именем компьютера или доменом\nаме целевого компьютера или учетной записи пользователя. Вы можете запустить setspn -A для добавления имен субъектов-служб, но вместо этого следует использовать setspn -S, так как он проверяет отсутствие повторяющихся имен субъектов-служб.

Параметры

Параметры	Описание
`<accountname>`	Указывает нужный объект учетной записи AD, для которого необходимо настроить имя субъекта-службы. Как правило, имя субъекта-службы — это имя netBIOS компьютера, а также домен, содержащий учетную запись компьютера. Однако можно использовать любое требуемое имя объекта AD.
`-R`	Сбрасывает регистрации имени субъекта-службы по умолчанию для имен узлов компьютера.
`-S`	Добавляет указанное имя субъекта-службы для компьютера после проверки того, что дубликаты отсутствуют.
`-D`	Удаляет указанное имя субъекта-службы для компьютера.
`-L`	Выводит список зарегистрированных в настоящее время имени субъекта-службы для компьютера.
`-C`	Указывает, что `accountname` является учетной записью компьютера.
`-U`	Указывает, что `accountname` является учетной записью пользователя.
`-Q`	Запрашивает все существующие имена субъектов-служб.
`-X`	Выполняет поиск повторяющихся имен субъектов-служб.
`-P`	Подавляет ход выполнения консоли и может использоваться при перенаправлении выходных данных в файл или при использовании в автоматическом скрипте. Выходные данные не отображаются до завершения команды.
`-F`	Выполняет запросы в лесу, а не на уровне домена.
`-T`	Выполняет запрос к указанному домену (или лесу при использовании `-F`).
`-?` или `/?`	Отображает сведения справки командной строки. При запуске `setspn` без этого параметра также отображаются сведения справки командной строки.

Примечание.

-C и -U являются эксклюзивными. Если этот параметр не указан, средство интерпретирует accountname как имя компьютера, если такой компьютер существует, и имя пользователя, если оно не указано.

Замечания

Модификаторы режима запроса можно использовать с параметром -S, чтобы указать, где необходимо выполнить проверку дубликата перед добавлением имени участника-службы.

-T можно указать несколько раз. Чтобы указать текущий домен или лес, используйте "" или *.
-Q выполняется в каждом целевом домене или лесу.
-X возвращает дубликаты, которые существуют во всех целевых объектах. Имена субъектов-служб не должны быть уникальными в лесах, но повторяющиеся имена субъектов-служб могут вызвать проблемы с проверкой подлинности во время проверки подлинности между лесами.
Имена субъектов-служб должны быть созданы с помощью базового имени учетной записи, указанной в качестве параметра имени учетной записи. Если это условие не выполнено, служба каталогов возвращает ошибку нарушения ограничений.

Возможно, у вас нет прав на доступ или изменение этого свойства в некоторых объектах учетной записи. Вы можете определить, какие права доступа являются, просматривая атрибуты безопасности объекта учетной записи с помощью консоли управления Майкрософт (MMC) в active Directory Users and Computers. Вы также можете делегировать разрешение, назначив проверенную запись в имя субъекта-службы разрешения требуемому пользователю или группе.

Встроенные имена субъектов-служб, распознаваемые для учетных записей компьютеров:

alerter         eventlog        netlogon             rpc            snmp
appmgmt         eventsystem     netman               rpclocator     spooler
browser         fax             nmagent              rpcss          tapisrv
cifs            http            oakley               rsvp           time
cisvc           ias             plugplay             samss          trksvr
clipsrv         iisadmin        policyagent          scardsvr       trkwks
dcom            messenger       protectedstorage     scesrv         ups
dhcp            msiserver       rasman               schedule       w3svc
dmserver        mcsvc           remoteaccess         scm            wins
dns             netdde          replicator           seclogon       www
dnscache        netddedsm

Эти имена субъектов-служб распознаются для учетных записей компьютеров, если у компьютера есть имя субъекта-службы узла. Если они явно не размещены на объектах, имя субъекта-службы узла может заменить любой из упомянутых субъектов-служб.

Имена субъектов-служб не учитывает регистр при использовании компьютеров на основе Microsoft Windows. Любой тип компьютерной системы может использовать имя субъекта-службы. Многие из этих компьютерных систем, особенно систем на основе UNIX, чувствительны к регистру и требуют правильного варианта работы. Будьте внимательны, чтобы использовать правильный случай, особенно если имя субъекта-службы используется компьютером, отличным от Windows.

Примеры

Чтобы получить список всех зарегистрированных имен субъектов-служб для учетной записи, введите следующее:

setspn -L <accountname>

Чтобы сбросить имена субъектов-служб для учетной записи компьютера, введите следующее:

setspn -R <accountname>

Чтобы зарегистрировать участника-службы http/MyServer для учетной записи пользователя User01, введите следующее:

setspn -U -S http/MyServer User01

Чтобы добавить новое имя субъекта-службы в учетную запись домена, которая не имеет одного набора, введите следующее:

setspn -S http/myserver.mydomain.com myDomain\myServer

Чтобы удалить имя участника-службы из учетной записи, введите следующее:

setspn -D http/myserver.mydomain.com myDomain\myServer

Чтобы запросить все повторяющиеся имена субъектов-служб в домене и домене contoso, введите следующее:

setspn -T * -T contoso -X

Чтобы найти все имена субъектов-служб, связанные с MyServer зарегистрированы в лесу домена contoso, введите следующее:

setspn -T contoso -F -Q */MyServer

См. также

Условные обозначения синтаксиса команд командной строки
Настройка имени субъекта-службы