O Kerberos será selecionado por padrão em um domínio do AD. Mas se algo der errado, o cliente não poderá voltar a nenhum dos outros mecanismos de autenticação. Por exemplo, se o SPN do serviço não estiver registrado, o Kerberos não poderá ser usado e a conexão do WinRM falhará. Você também não poderá usar o WinRM em outras situações em que o Kerberos não possa ser usado, como uma conexão com um computador de grupo de trabalho ou um computador em um domínio não confiável.
Editar:
Kerberos is the default method of authentication when the client is in a domain and the remote destination string is not one of the following: localhost, 127.0.0.1, or [::1].
Negotiate is the default method when the client is in domain, but the remote destination string is one of the following: localhost, 127.0.0.1, or [::1].
A partir daqui: link