Мне действительно нужна учетная запись в domain\administrators для веб-приложения Прокси с ADFS 3.0 на контроллере домена?

Я пытаюсь переместить свой ADFS / WAP к облаку для предоставления лучшей устойчивости после испытания недавнего отказа.

Частично, чтобы экономить на затратах VM, я использую всего 2 VMs с ADFS, установленным на контроллере домена и WAP на отдельной машине. Кажется, что много людей рекомендует выполнить ADFS на контроллере домена.

Я немного застреваю хотя, когда это прибывает время для конфигурирования веб-приложения Прокси. Это просит учетную запись локального администратора на сервере ADFS... в этом случае, я должен был бы добавить учетную запись к MyDomain\Administrators, довольно рискованной группе. Это действительно не соответствует идее выполнить ADFS на DC.

Когда запуск WAP постустанавливает конфигурацию, я смотрю на страницу Federation Server, где это просит Сервисное Название Федерации, и чуть ниже его подсказки для учетной записи локального администратора на сервере ADFS. Нет никакой группы локальных администраторов на DC, конечно, только эквивалентной группы Domain\Administrators, которая предоставляет доступ к изменению самого домена.

Существует ли путь вокруг этого помимо снимания роли ADFS DC? Более ограниченная учетная запись, возможно? Или этот более низкий риск, чем он, кажется на первый взгляд?