Разница между unconstrained и constrained делегированием в контексте Kerberos заключается в следующем:

1. Unconstrained делегирование (неограниченное). 12 В этом случае сервер или учётная запись службы, которой предоставлено такое право, могут выдавать себя за пользователя для аутентификации к любым службам на любом хосте. 2
2. Constrained делегирование (ограниченное). 12 Позволяет настроить, к каким службам может подключаться учётная запись. 3 Например, учётная запись может выдавать себя за другого пользователя, но только на определённой машине и на определённой её службе. 1

Таким образом, при unconstrained делегировании набор служб или ресурсов, к которым может подключаться конкретный сервер или приложение при олицетворении другого пользователя, неограничен, а при constrained — ограничен определёнными условиями. 1