在分布式环境中使用 DCE 安全性框架的安全考虑因素

特权服务解密请求，获得会话密钥，并确认客户端的身份。特权服务然后生成一个新的会话密钥，也就是 PTGT 会话密钥。同时，特权服务在从注册表服务获得此客户端的所有信息之后，生成 PAC。现在，特权服务将此信息复制到 TGT 中，并使用身份验证服务的秘密密钥加密它。这个 TGT 是一个 PTGT，因为它包含特权信息。特权服务现在将请求发送回客户端。此请求消息使用客户端传递给特权服务的会话密钥进行加密。

客户端获得响应消息，解密它，然后获得 PTGT 和 PTGT 会话密钥。

获得 PSTkt

客户端现在拥有了从身份验证服务获得 PSTkt 所需的一切，以及 PTGT 和 PTGT 会话密钥。客户端将一个 PSTkt 请求发送到身份验证服务。此请求消息包含服务器（客户端希望从该服务器获得服务）名称和一个客户端 PTGT 副本。

身份验证服务获取 PSTkt 请求，使用其秘密密钥解密它。在确认了 PSTkt 请求中的相关字段之后，身份验证服务继续生成一个 STkt。它将 PTGT 中的 PAC 复制到 STkt 中，将客户端设置为特权服务并生成一个新会话密钥。目标服务器将使用此会话密钥来确认客户端的身份。因为此 STkt 包含 PAC，所以它也是 PSTkt。而且此 PSTkt 使用目标服务器的秘密密钥进行了加密。身份验证服务构造一条响应消息，其中包含 PSTkt 和新会话密钥的一个副本。整条消息使用 PTGT 会话密钥加密并发送回客户端。

客户端收到响应消息，解密它，获得 PSTkt 和与目标服务器一同使用的会话密钥。

图 7. 特权服务工作模型 - 使用 PTGT 和 PSTkt