非约束性委派:在服务A上配置,配置后服务A可以模拟用户的身份访问服务B以及其他任何服务
约束性委派:在服务A上配置,配置后服务A可以模拟用户的身份访问服务B
基于资源的约束委派(RBCD):在服务B上配置,配置后仅允许服务A模拟特定用户如用户A的身份访问服务B
这是从目标来说的,目标资源指定哪些服务能够代表用户访问它
待完善
无约束委托(KUD) :配置了无约束委托的计算机会将连接到该计算机的所有用户的 TGT 存储在内存中。这样,该计算机就可以模拟该用户。要配置此功能,需要修改计算机的 userAccountControl 属性,使其包含 TRUSTED_FOR_DELEGATION 标志(这需要 SeEnableDelegationPrivilege 域权限)。
约束委派(KCD) :配置了约束委派的计算机将能够在另一台计算机上模拟任何用户。要配置此功能,需要修改对象的 userAccountControl 属性,使其包含 TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 标志(需要 SeEnableDelegationPrivilege 权限),并将 msDS-AllowedToDelegateTo 属性设置为我们想要以任何用户身份进行身份验证的目标 spn。
基于资源的约束委派(RBCD) :配置了基于资源的约束委派的计算机将信任其他用户在其自身上模拟任何用户。要配置此功能,必须将 AllowedToActOnBehalfOfOtherIdentity 属性设置为允许控制该属性的对象的 SID。这不需要 SeEnableDelegationPrivilege ,并且计算机可以自行修改它。
换句话说,RBCD 是机器帐户赋予自身的特权,不需要任何特殊特权,而无约束委派和约束委派都需要 SeEnableDelegationPrivilege 因为它们会影响域中的其他资源。