Действительно ли мне нужна учетная запись в домене \ администраторы для Прокси-сервер веб-приложения с ADFS 3.0 на контроллере домена?

Question

Действительно ли мне нужна учетная запись в домене \ администраторы для Прокси-сервер веб-приложения с ADFS 3.0 на контроллере домена?

Я пытаюсь переместить мою ADFS / WAP в облако, чтобы повысить устойчивость после недавнего сбоя.

Частично, чтобы сэкономить на виртуальных машинах, я использую только 2 виртуальные машины, с ADFS, установленной на контроллере домена, и WAP на отдельной машине. Похоже, что многие люди рекомендуют запускать ADFS на контроллере домена.

Я немного застрял, хотя, когда приходит время настраивать прокси веб-приложения. Он запрашивает учетную запись локального администратора на сервере ADFS... в этом случае мне придется добавить учетную запись в MyDomain\Administrators, группу довольно высокого риска. Это не совсем соответствует идее запуска ADFS на контроллере домена.

При запуске конфигурации после установки WAP я просматриваю страницу сервера федерации, где запрашивается имя службы федерации, а чуть ниже запрашивается учетная запись локального администратора на сервере ADFS. Конечно, на контроллере домена нет группы локальных администраторов, есть только эквивалентная группа "Домен \ Администраторы", которая дает доступ к изменению самого домена.

Есть ли способ обойти это, кроме того, чтобы снять роль ADFS с DC? Может быть, более ограниченный аккаунт? Или это меньший риск, чем кажется на первый взгляд?

2

active-directory windows-server-2012-r2 adfs web-application-proxy

Источник

Quinten 25 июн '15 в 20:10

2 ответа

Решение

Я использовал учетную запись администратора домена для нашей службы ADFS, хотя она не на контроллере домена. Я, вероятно, неправильно понял и подумал, что это требует администратора домена. Я сделал для него специальную учетную запись, и сервер ADFS находится внутри брандмауэра, и мы запускаем WAP, который не присоединен к домену в DMZ. Для нас это разумная безопасность.

Если вы действительно не хотите использовать учетную запись администратора домена, вам придется снять ее с DC.

0

Источник

Todd Wilcox 25 июн '15 в 20:22

Другие вопросы по тегам active-directory windows-server-2012-r2 adfs web-application-proxy

Quinten 26 июн '15 в 13:50 2015-06-26 13:50 · Accepted Answer · 2015-06-26 13:50

Хорошо, я нашел это: http://goodworkaround.com/node/53 и, читая внимательно, говорит, что учетные данные администратора не сохраняются, а используются только для создания начального доверия прокси. Это НЕ ясно из документации Microsoft, которую я мог найти, но я собираюсь верить этому.