هنگامی که از نمایندگی نامشخص استفاده می کنید ، سرویس A مجاز است تا به عنوان کاربر B برای هر سرویس دیگری تصدیق کند. این اتفاق می افتد زیرا کاربر B TGS خود را به همراه TGT خود به سرویس A ارسال می کند ، و سرویس A می تواند TGS دیگری را به نمایندگی از کاربر B. درخواست کند. در برابر هر سرویس دیگری اما این یک نیاز قبلی است. کاربر B باید ابتدا سرویس A را تأیید کند . اگر سرویس A به نوعی به خطر بیفتد ، نمی تواند هیچ کاربر را جعل کند تا زمانی که آن کاربر برای اولین بار به آن متصل شود و TGT خود را هدایت کند.

هنگام استفاده از نمایندگی محدود ، این اتفاق نمی افتد ، زیرا سرویس A به S2U4elf دسترسی دارد . این به او اجازه می دهد تا TGS را به نمایندگی از کاربر B. از TGS درخواست کند. این TGS سپس می تواند برای درخواست TGS بعدی از خدمات دیگر استفاده کند زیرا دارای پرچم رو به جلو (-f) با استفاده از S2U4proxy است. اعطا می شود ، فقط قادر خواهد بود تا کاربر را در مقابل خدماتی که در ویژگی صوتی msDS-AllowedToDelegateTo ثبت شده است (جعبه نمایندگی خود را محدود کند) جعل هویت کند ، اما این به نظر می رسد تجارت خوبی در برابر اینکه قادر به تفویض هر کاربر بدون نیاز به آن کاربر برای اولین بار است.

آیا درک من از این ویژگی ها صحیح است؟ آیا نماینده غیرقانونی در واقع می توانند امن تر از هیئت محدود شده باشند؟

ممنون!