我应该在.NET 4.5上自行替换c2WTS

我需要从UPN（通过声明检索）创建Windows令牌，以使用kerberos模拟用户到后端系统。这是由多个内部应用程序（以及将来可能的其他外部应用程序）使用的API。

到目前为止，我已成功设法完成所有步骤以实现此功能：

• 使用新的WindowsIdentity（upn）构造函数从UPN创建令牌
• 授予帐户“作为操作系统的一部分”权限
• 将帐户设置约束委派给活动目录中的后端服务

当我在WindowsIdentity上调用Impersonate（）并调用后端服务时，这很有用。

但是，从安全角度来看，我现在遇到一个问题，即我不希望我的API服务帐户具有“作为操作系统的一部分”权限。

最初我找到了c2WTS服务，但是这不再是自.NET 4.5以来的WIF的一部分所以我不想使用它，如果可能的话获得令牌（因为它将是一个单独的功能来安装和运行使用。 NET 3.5）。

我已经看过它的实现，它几乎与我想做的一样

• 作为系统帐户作为Windows服务运行（因此默认情况下具有“作为操作系统的一部分”权限
• 使用IPC允许我的api服务帐户从此服务请求令牌

所以我的问题归结为两件事：

• 是否有理由将其删除，不再是.NET 4.5和WIF 4.5的一部分？
• 我应该使用.NET 4.5来推送自己的c2WTS服务吗？