Resource-Based Constrained Delegation (RBCD) — это механизм в Windows, позволяющий сервису делегировать свои полномочия другому сервису, но с ограничениями, основанными на конкретных ресурсах (целевых сервисах). В отличие от классической делегации, где делегирование настраивается на уровне учетной записи пользователя, RBCD позволяет сервису делегировать права только на определённые сервисы, указанные в свойствах объекта ресурса.

Это повышает безопасность, так как ограничивает область делегирования и снижает риск злоупотребления полномочиями. RBCD часто используется в сценариях с Kerberos, когда один сервис должен аутентифицироваться от имени пользователя к другому сервису, но только к определённым.

Пример: веб-сервер может делегировать полномочия на доступ к базе данных, но не к другим сервисам в сети, что задаётся через атрибуты безопасности в Active Directory.

Что такое RBCD (Resource-Based Constrained Delegation)?