Вопрос: отправляет ли AD токен доступа пользователя по сети?
Исследование: Следующие два отрывка противоречат друг другу - учитывая, что TGT передаются по сети намеренно.
Из 5-го издания Active Directory от Oreilly:
Самое главное, токен доступа пользователя хранится в TGT. Маркер доступа включает важную информацию, например, в какие группы входит пользователь, права пользователя NT и утверждения динамического контроля доступа (DAC).
Из набора ресурсов Windows Server 2008 Active Directory, выпущенного Microsoft Press:
Маркер доступа используется подсистемой безопасности всякий раз, когда пользователь пытается получить доступ к ресурсу. Когда пользователь пытается получить доступ к локальному ресурсу, токен предоставляется клиентской рабочей станцией любому потоку или приложению, которое запрашивает информацию о безопасности, прежде чем разрешить доступ к ресурсу. Токен доступа никогда не передается по сети на другой компьютер; скорее, токен локального доступа создается на каждом сервере, где пользователь пытается получить доступ к ресурсу. Например, когда пользователь пытается получить доступ к почтовому ящику на сервере с Exchange Server 2007, на сервере создается маркер доступа.
Эти описания немного расплывчаты. Есть два жетона. Маркер доступа к процессу и маркер Kerberos. Маркер процесса специфичен для локального компьютера.
«В реализации Windows сервер приложений получает данные авторизации (PAC) и запрашивает ОС Windows сгенерировать маркер доступа».
Kerberos TGT содержит данные авторизации, подпись и в Microsoft Active Directory реализацию Kerberos, расширение, известное как сертификат атрибута привилегий (PAC). PAC содержит информацию об идентификаторе пользователя, SID группы, права и привилегии пользователя, информацию о профиле пользователя, данные авторизации контроллера домена, информацию о клиентском компьютере и защищенные учетные данные / пароль.
Созданный маркер доступа процесса объединяет / объединяет любую локальную политику / права / привилегии / группы безопасности с политикой, указанной в TGT PAC.
Если созданный токен доступа является токеном олицетворения уровня делегирования, его можно использовать для доступа к ресурсам на удаленных компьютерах, поскольку токен делегирования содержит защищенные учетные данные. Хотя на удаленных компьютерах создается новый маркер доступа к процессу.
Как работают токены доступа
https://technet.microsoft.com/en-us/library/cc783557(v=ws.10).aspx
[MS-PAC]: структура данных сертификата атрибута привилегий
https://msdn.microsoft.com/en-us/library/cc237917.aspx
желтый
информация из набора ресурсов AD 2008 верна, токены доступа создаются локальными системами и затем прикрепляются к потокам, которые выполняет пользователь. здесь есть очень хорошая информация:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa374909(v=vs.85).aspx
и тут
https://technet.microsoft.com/en-us/library/cc783557(v=ws.10).aspx
хотя 2-я ссылка немного устарела.