m0_75218183的博客

在学习黄金白银票据之前，我们先要搞懂Kerberos（三头保卫神犬）协议。Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

对于约束性委派，服务账户只能获取该用户对指定服务的ST，从而只能模拟该用户访问特定的服务。配置了约束性委派账户的msDS-AllowedToDelegateTo 属性会指定对哪个SPN进行委派，约束性委派的设置需要SeEnableDelegationPrivilege特权，该特权默认仅授予域管理员和企业管理员。

概念：服务账号可以获取被委派用户的TGT，并将TGT缓存到lsass进程中，从而服务账号可使用该TGT，模拟该用户访问域内其他服务。非约束委派的设置需要SeEnableDelegationPrivilege权限，该特权通常只有域管理员才有。