Constrained delegation
Descripción
La delegación es el acto de dar a alguien autoridad o responsabilidad para hacer algo en nombre de otra persona. En Active Directory, la delegación es una característica que permite que cuentas específicas (usuario o computadora) se hagan pasar por otras cuentas para acceder a servicios particulares en la red.
Constrained delegation es un privilegio que los administradores de dominio pueden asignar a una computadora o un usuario del dominio. Cuando se establece en una cuenta ocurre que:
El atributo UserAccountControl para el objeto se actualiza con el indicador
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION.El atributo
msDS-AllowedToDelegateTose completa con los servicios específicos (SPN) que se pueden acceder (lista de delegación permitida) en nombre de otro usuario.
Al comprometer una cuenta de usuario con privilegios de constrained delegation es posible solicitar TGS (Ticket Granting Service) en nombre de otros usuarios del dominio.
Windows
1) Obtener usuarios y servidores con privilegios de constrained delegation.
2) Obtención de TGT (Ticket Granting Ticket) de cuenta comprometida.
3) Obtención de TGS (Ticket Granting Service) para un servicio específico permitido en nombre de otro usuario del dominio (suplantación) y realización de Pass the Ticket (PtT).
4) Obtención de TGS (Ticket Granting Service) para un servicio específico alternativo (no permitido) en nombre de otro usuario del dominio (suplantación) y realización de Pass the Ticket (PtT).
Última actualización