Em um controlador de domínio do Windown Server 2008, estou tentando adicionar um SPN (nome principal de serviço) a uma conta de usuário 'Postmaster' para habilitar a autenticação Kerberos de um servidor de email Communigate. A linha de comando que estou usando é da seguinte forma:
setspn -a imap/email-domain.com windows-domain\postmaster
Quando executo esse comando, obtenho o resultado:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Isso é muito curioso, pois estou logado como usuário no grupo Admins. Do Domínio. Eu verifiquei privilégios efetivos para esta conta e não consigo ver nenhum que não esteja incluído. Eu também tentei uma conta de administrador diferente, com o mesmo resultado.
Apenas para descartar, também adicionei o usuário Postmaster aos administradores de domínio, mas nenhuma alteração no resultado.
Estou executando este comando diretamente na instância do controlador de domínio. Consigo consultar SPNs sem dificuldade, mas não consigo escrevê-los.
Também tentei usar o ktpass para definir indiretamente o SPN no usuário desejado, mas recebi um aviso:
WARNING: Unable to set SPN mapping data.
... que suponho ser um sintoma do mesmo problema de acesso insuficiente.
O que poderia estar causando esse erro?