Настройка учетной записи пользователя службы Windows на основе проверки контроллера домена

У нас есть служба исправлений, которая представляет собой службу Windows, которая исправляет не контроллеры домена и контроллеры домена. В настоящее время мы использовали ту же учетную запись службы (account_abc) который имеет Domain Administrator privilege патчить все серверы

Мы планируем удалить эту привилегию по соображениям безопасности. Итак, теперь мы должны найти решение для того, чтобы службе исправлений (службе Windows) приходилось исправлять как недоменные контроллеры, так и контроллеры домена. Мы могли бы придумать одно решение:

1) Сначала удалите привилегии администратора домена для учетной записи службы (account_abc) и создайте новую учетную запись службы (account_xyz) принадлежность к группе администраторов домена.

Используйте старый аккаунт (account_abc) чтобы начать процесс исправления. А затем в коде службы Windows сначала проверьте, является ли целевой сервер (сервер, на который нужно установить исправления) контроллером домена (где в базе данных SQL есть поле, которое сообщает, является ли он контроллером домена). Если это контроллер домена, то выдать себя за дальнейший процесс для новой учетной записи (account_xyz) для исправления целевого сервера, если нет, то используйте старую учетную запись (account_abc).

Здесь я совершенно не уверен насчет процесса олицетворения, как это работает в службе Windows, поскольку служба Windows уже работает под старой учетной записью, а затем, как этот следующий процесс исправления необходимо изменить на новую учетную запись службы (account_xyz)?

Я ищу указатели здесь, если есть какой-либо другой лучший и простой способ сделать это.

Любая идея / предложение по этому вопросу будет действительно полезным.

Спасибо