Предоставление разрешений учетным записям виртуальных служб на контроллерах домена

Служба, которую я реализую, будет работать на контроллере домена, поэтому я бы хотел, чтобы у нее были минимальные привилегии. В идеале это просто будет запускаться как локальная служба. Тем не менее, он должен быть в состоянии:

• контролировать счетчики производительности (входить в состав Performance Monitor Users)
• управлять счетчиками производительности, журналами и оповещениями (быть участником пользователей журнала производительности)
• читать журналы событий (быть участником программы чтения журнала событий)

Добавление локального сервиса в эти группы, очевидно, не очень хороший подход. Запуск службы в качестве созданной для нее учетной записи виртуальной службы позволит ей получить доступ к сети с идентификатором компьютера, что также нежелательно. Поэтому я хотел бы запустить его как локальную службу с ненулевым типом SID, передавая таким образом привилегии, предоставленные VSA.

У меня возникают проблемы при добавлении VSA службы в группы, указанные выше. Я подозреваю, что это потому, что VSA является локальным (и существует только в контроллере домена), в то время как группы являются группами домена. Является ли это возможным?

Групповые управляемые учетные записи могут оказаться полезными (заменив VSA), если их необходимо создавать вручную.

Как правильно настроить службу для запуска только с указанными разрешениями, в то время как развертывание не имеет предварительных условий (создание GMSA отсутствует)?

Ответы, специфичные для указанных групп, также приветствуются.