基于资源的约束委派

什么是基于资源的约束委派为了使用户/资源更加独立,Windows Server 2012中引入了基于资源的约束委派。基于资源的约束委派允许资源配置受信任的帐户委派给他们。基于资源的约束委派将委派的控制权交给拥有被访问资源的管理员。 上面”基于资源的约束委派将委派的控制权交给拥有被访问资源的管理员”,这就导致了正常只要是域用户都有权限进行委派操作。 与约束委派最大的不同点,就是”基于资源”这四个字,

内网
内网

约束委派

由于非约束委派的不安全性,微软在windows2003中发布了约束委派的功能,如下所示 在约束委派中的kerberos中,用户同样还是会将TGT发送给相关受委派的服务,但是由于S4U2proxy的影响,对发送给受委派的服务去访问其他服务做了限制,不允许受委派的服务代表用户使用这个TGT去访问任意服务,而是只能访问指定的服务。 这里就引入了两个新的概念 S4U2Self和S4U2ProxyS4U2s

内网
内网

非约束委派

域委派是什么及其由来域委派是指:将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动 懂一个东西的产生,肯定要先知道为什么会产生这个东西? 在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通

内网
内网

Kerberos

前言Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使 用密钥加密技术为客户端/服务器应用程序提供强身份验证。 因为Kerberos协议 一般运用在域环境中 所以先结束一下域环境 域环境​ 由于 Kerberos 主要是用在域环境下的身份认证协议,所以在说之前先说下域环境的一 些概念。首先域的产生是为了解决企业内部的资源管理问题,比如一个公

内网
Kerberos