我们是否也需要分配"在认证之后模拟客户端";对执行Kerberos委派的服务帐户的权限;充当操作系统的一部分";正确的
这些权利是如何结合在一起的?
"在验证之后模拟客户端"-似乎是一种更安全的委派策略,旨在允许一些自由模仿,试图限制特权的升级。
"作为操作系统的一部分"-委托的上帝模式。不要把它交给人类用户,只分配给你信任的原则。
两者都应该给你kerberos"委托受信任";在kerberos的土地上,但有略有不同的windows土地权限。