ドメインコントローラー上の仮想サービスアカウントにアクセス許可を与える

私が実装しているサービスはドメインコントローラーで実行されるので、最小限の特権を持たせたいです。理想的には、単にローカルサービスとして実行されます。ただし、次のことができる必要があります。

• パフォーマンスカウンターの監視（パフォーマンスモニターユーザーのメンバーになる）
• パフォーマンスカウンター、ログ、およびアラートを管理します（パフォーマンスログユーザーのメンバーになる）
• イベントログの読み取り（イベントログリーダーのメンバーになる）

これらのグループにローカルサービスを追加することは、明らかに良いアプローチではありません。生成された仮想サービスアカウントとしてサービスを実行すると、コンピューターのIDを使用してネットワークにアクセスできるようになりますが、これも望ましくありません。だから私は ゼロ以外のSIDタイプでローカルサービスとして実行する 、それによってVSAに与えられた特権をそれに渡したいと思います。

上記のグループにサービスのVSAを追加するのに問題があります。VSAがローカルである（ドメインコントローラー内にのみ存在する）ためだと思われます。 ）、グループはドメイングループです。 それは可能ですか？

グループマネージドサービスアカウントは、手動で作成する必要がある場合、（VSAの代わりに）役立つ場合があります。

デプロイメントに前提条件がない（GMSAの作成がない）ときに、指定されたアクセス許可のみで実行するようにサービスをセットアップする正しいアプローチは何ですか？

特定のグループに固有の回答も歓迎します。