Perguntas sobre o ktpass / kerberos com o Active Directory

Eu tenho algumas perguntas sobre o Kerberos com o Active Directory, especificamente sobre a ferramenta ktpass.

O exemplo de AD que estou usando (tudo está no nível 2012R2):
Diretório do Active Directory : ad.example.com
Controlador de domínio : dc.ad.example.com
Nome do servidor de serviço : server.ad.example.com
Nome do usuário do serviço : test-service-user @ ad .example.com

Eu uso isso como invocação de referência do comando ktpass:

ktpass /princ SERVICE-NAME/[email protected]
       /mapuser [email protected]
       /pass * /ptype KRB5_NT_PRICIPAL /crypto AES128-SHA1

Saída no meu sistema de teste:

Targeting domain controller: dc.ad.example.com
Using legacy password setting method
Successfully mapped SERVICE-NAME/server.ad.example.com to [email protected].
Type the password for SERVICE-NAME/server.ad.example.com:
Type the password again to confirm:
Key created.

Agora as perguntas:

• O parâmetro / mapuser mapeia o principal do Kerberos para o usuário, isso é o mesmo que fazer com setspn -U -S SERVICE-NAME/server.ad.example.com test-service-user ? Ou há algum outro mapeamento feito também? Se sim, como desfazer esse mapeamento?
• Se eu procurar o usuário do serviço de teste usando a ferramenta "Usuários e computadores do Active Directory", vejo que o "Nome de logon do usuário" foi substituído por "SERVICE-NAME / server.ad.example.com" Isso significa que existe apenas um principal Kerberos por usuário?
• Eu não especifiquei o parâmetro / out - mas ele diz "Key created.", isso significa que ele atualizou a senha do test-service-user ou que uma chave foi armazenada em outro lugar (onde?)?
• O que significa "método de configuração de senha herdada"?