N>а где можно такое почитать? потому что как-то слабо вериться — предположим у меня экзешник, который стучится в базу, а в базе доступ через доменные группы — это испокон веков работало, хотя никто SPN не прописывает. И мне же не нужно у пользователя пароль спрашивать для этих целей. вроде как...
N>хотелось бы почитать ваши источники, если можно.
N>от себя могу скинуть wireshark'овские логи, в которых читается то, про что я говорю — может я не так смотрю, но всё похоже на NTLM.

Где это можно почитать не скажу, потому что это оказалась неправдой Наверное приснилось.
Только что поставил ваиршарк и проанализировал различные хендшейки между бравзером и вебсервером.
Таки да в моем случае клиент использует NTLM. Причем если добавить в AD соответстующий SPN, то клиент начинает использовать керберос. Причем как я понимаю для самого бравзера это все прозрачно. Так скорее всего реализован секурити провайдер для negotiate. Т.е. сам провайдер сначала пытается получить TGT от KDS для SPN которого нет и после облома решает использовать NTLM.

Вобщем в проблеме полностью разобрался. Тему можно закрывать.
Отдельное спасибо Neco за совет использовать wireshark. За 5 лет он (ethereal) очень сильно изменился. Сейчас реально мега мощный инструмент. Расшифровывает огромное количество протоколов.