В чем разница между unconstrained и constrained делегированием в контексте Kerberos?

Разница между unconstrained и constrained делегированием в контексте Kerberos заключается в следующем:

1. Unconstrained делегирование (неограниченное). habr.com en.hackndo.com В этом случае сервер или учётная запись службы, которой предоставлено такое право, могут выдавать себя за пользователя для аутентификации к любым службам на любом хосте. en.hackndo.com
2. Constrained делегирование (ограниченное). habr.com en.hackndo.com Позволяет настроить, к каким службам может подключаться учётная запись. blog.netwrix.com Например, учётная запись может выдавать себя за другого пользователя, но только на определённой машине и на определённой её службе. habr.com

Таким образом, при unconstrained делегировании набор служб или ресурсов, к которым может подключаться конкретный сервер или приложение при олицетворении другого пользователя, неограничен, а при constrained — ограничен определёнными условиями. habr.com