Вопросы о ktpass / kerberos с Active Directory

У меня есть несколько вопросов о Kerberos с Active Directory, особенно об инструменте ktpass.

Пример AD, который я использую (все на уровне 2012R2):
Active Directory Имя домена: ad.example.com
Контроллер домена: dc.ad.example.com
Имя сервера службы: server.ad.example.com
Имя пользователя службы: test-service-user@ad.example.com

Я использую это как ссылочный вызов команды ktpass:

ktpass /princ SERVICE-NAME/server.ad.example.com@AD.EXAMPLE.COM
       /mapuser test-service-user@ad.example.com
       /pass * /ptype KRB5_NT_PRICIPAL /crypto AES128-SHA1

Вывод в моей тестовой системе:

Targeting domain controller: dc.ad.example.com
Using legacy password setting method
Successfully mapped SERVICE-NAME/server.ad.example.com to test-service-user@ad.example.com.
Type the password for SERVICE-NAME/server.ad.example.com:
Type the password again to confirm:
Key created.

Теперь вопросы:

• Параметр / mapuser сопоставляет принципала Kerberos пользователю, это то же самое, что и при использовании setspn -U -S SERVICE-NAME/server.ad.example.com test-service-user? Или есть еще какое-то отображение? Если да, то как отменить это сопоставление?
• Если я ищу пользователя тестовой службы с помощью инструмента «Пользователи и компьютеры Active Directory», я вижу, что «Имя пользователя для входа в систему» ​​было заменено на «ИМЯ-СЕРВИС / server.ad.example.com», делает это означает, что для каждого пользователя возможен только один принципал Kerberos?
• Я не указал параметр / out, но в нем указано «Ключ создан». Означает ли это, что был обновлен пароль пользователя тестовой службы или ключ был сохранен где-то еще (где?)?
• Что означает "устаревший метод установки пароля"?