如何使用 WinAPI 和 kerberos 密钥表在加入域的计算机上创建登录会话？

如果这是一个天真的问题，我深表歉意；我仍在了解活动目录的身份验证以及 Windows API（以前称为 win32）的功能。

给定：

1. 加入域的 Windows 计算机（比方说 Win10+，或 Server 2019+）；
2. 应用程序，App，在 gMSA 的凭据下作为服务在该计算机上运行；
3. 用户

   User

   在活动目录中的 kerberos keytab 文件

App 是否可以使用 WinAPI（来自 C，或通过 pywin32 的 Python）在同一台计算机上为

User

创建登录会话 并运行任意给定命令（powershell 脚本、应用程序等）作为

 User

？如果是这样，怎么样？

如果无法完成，那么应用程序是否有另一种方法来创建这样的登录会话并运行命令without应用程序可以直接访问

User

的密码？例如可能是一些额外的信息，或者具有特定权限的 gMSA，或者通过某种其他类型的凭据代理或内置凭据提供程序，或者......等等。

我知道活动目录确实使用 kerberos 作为其主要（默认？仅？）身份验证。所以，从概念上讲，在我看来，这样的事情是可能的。

感谢您的关注。谢谢。