“身份验证后模拟客户端”权限与 Kerberos 的“委托委托”权限​​之间的关系

Posted 2023-02-19

【中文标题】“身份验证后模拟客户端”权限与 Kerberos 的“委托委托”权限​​之间的关系

【英文标题】：Relation between "Impersonate a client after authentication" right and Kerberos's "trusted for delegation" right

【发布时间】：2022-01-20 22:21:46

【问题描述】：

除了“作为操作系统的一部分”之外，我们是否还需要为执行 Kerberos 委派的服务帐户分配“身份验证后模拟客户端”权限？

这些权利如何组合在一起？

【参考方案1】：

“在身份验证后模拟客户端” - 似乎是一种更安全的委派策略，旨在允许使用attempt to restrict escalation of privileges 进行模拟。

“作为操作系统的一部分”——委托的上帝模式。不要把它交给人类用户，只分配给你信任的原则。

两者都应该在 kerberos 土地上为您提供 kerberos“受信任的委派”，但 Windows 土地权限略有不同。