ドメインコントローラー上のADFS3.0を使用するWebアプリケーションプロキシのドメイン\管理者にアカウントが本当に必要ですか？

Question

最近の障害が発生した後、回復力を高めるためにADFS/WAPをクラウドに移動しようとしています。

VMコストを節約するために、ADFSをドメインコントローラーにインストールし、WAPを別のマシンにインストールしたVMを2つだけ使用しています。多くの人が、ADFSをで実行することを推奨しているようです。ドメインコントローラー。

Webアプリケーションプロキシを構成するときになると、私は少し立ち往生しています。 ADFSサーバー上のローカル管理者アカウントを要求します...この場合、かなりリスクの高いグループであるMyDomain\Administratorsにアカウントを追加する必要があります。これは、DCでADFSを実行するという考えには実際には適合しません。

WAPのインストール後の構成を開始すると、[フェデレーションサーバー]ページが表示され、フェデレーションサービス名が要求され、そのすぐ下にADFSサーバーのローカル管理者アカウントの入力を求められます。 DCには、もちろん、ドメイン自体の変更へのアクセスを許可する同等のDomain\Administratorsグループのみにローカル管理者グループはありません。

DCからADFSの役割を取り除く以外に、これを回避する方法はありますか？もっと限定されたアカウントかもしれませんか？それとも、これは一見したところよりもリスクが低いのでしょうか？

Quinten · Accepted Answer

OK、私はこれを見つけました： http://goodworkaround.com/node/5 よく読んでみると、管理者の資格情報は保存されず、最初のプロキシ信頼を作成するためにのみ使用されると書かれています。これは私が見つけたマイクロソフトのドキュメントでは明らかにされていませんが、私はそれを信頼するつもりです。

Todd Wilcox · Answer

DCにないのに、ADFSサービスにドメイン管理者アカウントを使用しました。私はおそらくそれを読み間違えて、ドメイン管理者が必要だと思いました。専用のアカウントを作成しました。ADFSサーバーはファイアウォールの内側にあり、DMZのドメインに参加していないWAPを実行しています。私たちにとって、それは合理的なセキュリティです。

ドメイン管理者アカウントを本当に使用したくない場合は、DCから削除する必要があります。