Active-Directory
我真的需要在域控制器上使用 ADFS 3.0 的 Web 應用程序代理的 domainadministrators 帳戶嗎?
我正在嘗試將我的 ADFS / WAP 移動到雲中,以便在經歷最近的故障後提供更好的恢復能力。
為了節省 VM 成本,我只使用了 2 個 VM,ADFS 安裝在域控制器上,WAP 安裝在單獨的機器上。似乎很多人建議在域控制器上執行 ADFS。
不過,在配置 Web 應用程序代理時,我有點卡住了。它要求 ADFS 伺服器上的本地管理員帳戶…在這種情況下,我必須將該帳戶添加到 MyDomain\Administrators,這是一個相當高風險的組。這並不真正符合在 DC 上執行 ADFS 的想法。
啟動 WAP 安裝後配置時,我正在查看聯合伺服器頁面,它要求提供聯合服務名稱,並在其下方提示輸入 ADFS 伺服器上的本地管理員帳戶。當然,DC 上沒有本地管理員組,只有等效的 Domain\Administrators 組可以訪問修改域本身。
除了從 DC 中取消 ADFS 角色之外,有沒有辦法解決這個問題?可能是一個更有限的帳戶?還是這比乍看之下的風險低?
好的,我發現了這個: http: //goodworkaround.com/node/53並仔細閱讀,它說管理員憑據沒有保存,但僅用於創建初始代理信任。我可以找到的 Microsoft 文件沒有明確說明這一點,但我會相信它。
我為我們的 ADFS 服務使用了域管理員帳戶,即使它不在 DC 上。我可能誤讀了它,並認為它需要域管理員。我為其創建了一個專用帳戶,ADFS 伺服器位於防火牆內,我們正在執行一個未加入 DMZ 域的 WAP。對我們來說,這是合理的安全。
如果您真的不想使用域管理員帳戶,則必須將其從 DC 中刪除。