我有一个在服务器中用于进行 Kerberos 身份验证的服务帐户。帐户设置正确,为该帐户创建的所有 SPN 都正确创建,并且 KTAB 已创建。一切都按预期工作,用户可以使用 SSO 毫无问题地登录到该服务器。经过几天的正常工作,服务器停止了对用户的身份验证。我们检查并发现该帐户的 userPrincipalName 已从它通常创建的 SPN 进行了修改,同时将密钥表创建回常规服务帐户。该帐户有什么办法以某种方式回滚SPN吗?系统是否可以在没有 Active Directory 管理员权限的情况下更改此 userPrincipalName?