サーバーで Kerberos 認証を行うために使用されるサービス アカウントがあります。アカウントが正しく設定され、アカウント用にすべての SPN が正しく作成され、KTAB が作成されました。すべてが期待どおりに機能し、ユーザーは問題なく SSO を使用してこのサーバーにログインできました。数日間正常に動作した後、サーバーはユーザーの認証を停止しました。確認したところ、アカウントの userPrincipalName は、keytab の作成中に通常作成される SPN から変更され、通常のサービス アカウントに戻されていました。アカウントが何らかの方法で SPN をロールバックする方法はありますか? Active Directory の管理者権限がなくても、システムがこの userPrincipalName を変更する方法はありますか?