“身份验证后模拟客户端”权限与 Kerberos 的“委托委托”权限之间的关系

【问题标题】：Relation between "Impersonate a client after authentication" right and Kerberos's "trusted for delegation" right“身份验证后模拟客户端”权限与 Kerberos 的“委托委托”权限之间的关系
【发布时间】：2022-01-20 22:21:46
【问题描述】：

除了“作为操作系统的一部分”之外，我们是否还需要为执行 Kerberos 委派的服务帐户分配“身份验证后模拟客户端”权限？

这些权利如何组合在一起？

【问题讨论】：

标签： active-directory kerberos kerberos-delegation

【解决方案1】：

“在身份验证后模拟客户端” - 似乎是一种更安全的委派策略，旨在允许使用attempt to restrict escalation of privileges 进行模拟。

“作为操作系统的一部分”——委托的上帝模式。不要把它交给人类用户，只分配给你信任的原则。

两者都应该在 kerberos 土地上为您提供 kerberos“受信任的委派”，但 Windows 土地权限略有不同。

【讨论】：