Ho passato ore e ore a cercare di imparare e comprendere l'autenticazione di Windows, Kerberos, SPN e la delega vincolata in IIS 7.5. Una cosa che non capisco è perché è "rischioso" lasciare abilitata la delega (cioè non disabilitare la delega per account sensibili) per amministratori, amministratori delegati, ecc. Qualcuno può spiegarmelo in termini semplici? Inquadra la tua risposta rispetto a un ambiente intranet.
Il mio ragionamento è che non dovrebbe essere un problema, perché la delega consente semplicemente a un server Web front-end, ad esempio, di agire per conto della persona autenticata da Windows quando comunica con altri server. Se la persona ha accesso, ha accesso, non capisco perché questo dovrebbe essere un problema.
Per favore, perdona la mia ignoranza. Sono principalmente uno sviluppatore, ma la mia azienda è molto snella in questi giorni e sono costretta a indossare anche il cappello dell'amministratore del server ... sfortunatamente, non si adatta molto bene, lol.