Je cherche à déplacer mon ADFS / WAP vers le cloud pour offrir une meilleure résilience après avoir connu une récente panne.
Pour économiser sur les coûts des machines virtuelles, j'utilise seulement 2 VM, avec ADFS installé sur un contrôleur de domaine, et le WAP sur une machine séparée. Il semble que beaucoup de gens recommandent d'exécuter ADFS sur un contrôleur de domaine.
Cependant, je suis un peu bloqué quand vient le moment de configurer le Proxy d'application Web. Il demande un compte administrateur local sur le serveur ADFS... dans ce cas, je devrais ajouter le compte à MonDomaine\Administrateurs, un groupe assez risqué. Cela ne correspond pas vraiment à l'idée d'exécuter ADFS sur un DC.
Lorsque je démarre la configuration post-installation du WAP, je regarde la page du serveur de fédération, où il demande le Nom du service de fédération, et juste en dessous, il demande un compte administrateur local sur le serveur ADFS. Il n'y a évidemment pas de groupe administrateurs locaux sur le DC, seulement l'équivalent du groupe Domaine\Administrateurs qui donne accès à la modification du domaine lui-même.
Y a-t-il un moyen de contourner cela, en dehors de retirer le rôle ADFS du DC ? Un compte plus limité peut-être ? Ou est-ce moins risqué qu'il n'y paraît à première vue ?
