我真的需要在域控制器上使用 ADFS 3.0 的 Web 應用程序代理的 domainadministrators 帳戶嗎？

我正在嘗試將我的 ADFS / WAP 移動到雲中，以便在經歷最近的故障後提供更好的恢復能力。

為了節省 VM 成本，我只使用了 2 個 VM，ADFS 安裝在域控制器上，WAP 安裝在單獨的機器上。似乎很多人建議在域控制器上執行 ADFS。

不過，在配置 Web 應用程序代理時，我有點卡住了。它要求 ADFS 伺服器上的本地管理員帳戶…在這種情況下，我必須將該帳戶添加到 MyDomain\Administrators，這是一個相當高風險的組。這並不真正符合在 DC 上執行 ADFS 的想法。

啟動 WAP 安裝後配置時，我正在查看聯合伺服器頁面，它要求提供聯合服務名稱，並在其下方提示輸入 ADFS 伺服器上的本地管理員帳戶。當然，DC 上沒有本地管理員組，只有等效的 Domain\Administrators 組可以訪問修改域本身。

除了從 DC 中取消 ADFS 角色之外，有沒有辦法解決這個問題？可能是一個更有限的帳戶？還是這比乍看之下的風險低？

好的，我發現了這個： http: //goodworkaround.com/node/53並仔細閱讀，它說管理員憑據沒有保存，但僅用於創建初始代理信任。我可以找到的 Microsoft 文件沒有明確說明這一點，但我會相信它。

我為我們的 ADFS 服務使用了域管理員帳戶，即使它不在 DC 上。我可能誤讀了它，並認為它需要域管理員。我為其創建了一個專用帳戶，ADFS 伺服器位於防火牆內，我們正在執行一個未加入 DMZ 域的 WAP。對我們來說，這是合理的安全。

如果您真的不想使用域管理員帳戶，則必須將其從 DC 中刪除。

引用自：https://serverfault.com/questions/701695