La délégation est le fait d'autoriser un service à emprunter l'identité d'un compte d'utilisateur ou d'ordinateur afin d'accéder à des ressources sur le réseau. Lorsqu'un service est approuvé pour la délégation, il peut représenter un utilisateur et faire appel à d'autres services réseau pour son compte.

Pour plus d'informations sur la délégation, voir la section relative à la conception d'une stratégie d'authentification (éventuellement en anglais) sur le site Web des Kits de ressources techniques de Microsoft Windows.

Les conditions suivantes doivent être remplies pour pouvoir installer une délégation sur un ordinateur :

• Le compte qui procède à la délégation doit être Approuvé pour la délégation à tous les services ou Approuvé pour la délégation à des services spécifiés uniquement.
  
• Le compte pour lequel le service est délégué ne doit pas être affecté par l'option Le compte est sensible et ne peut pas être délégué.
  
• Pour pouvoir activer la délégation, l'administrateur doit bénéficier du privilège Permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation.
  

Pour plus d'informations sur la façon de permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation, voir Protocole d'authentification - Comment....

La délégation contrainte est une nouvelle option qui ne peut être utilisée que sur les membres de la famille Windows Server 2003. Grâce à cette option, l'administrateur peut spécifier les noms principaux des services (SPN, Service Principal Names) vers qui ce compte peut déléguer. Un service peut être approuvé pour la délégation, mais cette approbation peut être limitée à un groupe de services sélectionné, spécifié explicitement par un administrateur de domaine.

Dans un domaine Windows Server 2003, vous devez prendre en compte trois options pour approuver un ordinateur pour la délégation :

• Ne pas approuver cet ordinateur pour la délégation. Cette option, déjà disponible sur Windows 2000, est le paramètre par défaut des membres de la famille Windows Server 2003.
  
• Approuver cet ordinateur pour la délégation à tous les services (Kerberos uniquement). La sécurité de cette option, déjà disponible sur Windows 2000, est fonction du service et des actions de tous ses administrateurs. Lorsque cette option est sélectionnée sur un ordinateur, tous les services du compte système local de l'ordinateur seront approuvés pour la délégation. Par conséquent, un administrateur de l'ordinateur peut installer n'importe quel service, qui pourra ensuite accéder à toute ressource réseau en représentant un utilisateur.
  
• N'approuver cet ordinateur que pour la délégation aux services spécifiés. Cette nouvelle fonctionnalité de la famille Windows Server 2003 est généralement appelée « délégation contrainte ». Grâce à la délégation contrainte, l'administrateur peut spécifier les noms principaux des services (SPN, Service Principal Names) vers qui ce compte peut déléguer. Si une application doit déléguer pour un fonctionnement optimal, il s'agit de l'option la plus sécurisée. La délégation pour les services spécifiés permet à un administrateur de choisir les services sur le réseau vers qui déléguer en choisissant un service spécifique ou un compte d'ordinateur. En autorisant uniquement la délégation à des services spécifiques, un administrateur peut contrôler les ressources réseau pouvant être utilisées par le service ou l'ordinateur.
  

Pour plus d'informations sur les niveaux fonctionnels de domaine, voir Fonctionnalité des domaines et des forêts.

Pour plus d'informations sur la configuration de la délégation contrainte, voir

• Autoriser un ordinateur à être approuvé pour la délégation pour des services spécifiques
  
• Autoriser un utilisateur à être approuvé pour la délégation pour des services spécifiques
  

Pour plus d'informations sur la configuration de la délégation, voir

• Autoriser un ordinateur à être approuvé pour la délégation
  
• Autoriser un utilisateur à être approuvé pour la délégation