Якщо ви намагаєтесь переконати менеджмент, хорошим початком буде таке:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Оновлення : Дивіться цю статтю Technet про захист контролерів домену від нападу та розділ під заголовком Perimeter Firewall Restrictions
:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
І розділ із заголовком Blocking Internet Access for Domain Controllers
:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Я впевнений, що ви можете зібрати якусь документацію Microsoft з цього питання, тож це все. На додаток до цього, ви можете стверджувати про небезпеку такого кроку, щось таке:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
Кешовані облікові дані - це саме те, що - кешоване. Вони працюють на локальній машині, коли вона не може підключитися до домену , але якби цей обліковий запис було вимкнено, вони не працюватимуть на жодних мережевих ресурсах (svn, vpn, smb, fbi, cia тощо), тому їм не потрібно турбуватися про це . Також пам’ятайте, що користувачі вже мають повні права на будь-які файли в папці свого профілю на локальній машині (імовірно, на знімному носії), тому вимкнено облікові дані або вони не можуть робити те, що їм заманеться. Вони також не працюватимуть для локальної машини, як тільки вона знову підключиться до мережі.
Ви посилаєтесь на послуги, які надає Active Directory або контролер домену, наприклад LDAP? Якщо так, LDAP часто захищено для цілей аутентифікації та запитів каталогів, але просто відключення брандмауера Windows (або відкриття всіх необхідних портів для загального користування - те саме в цьому прикладі) може спричинити серйозні проблеми.
AD по-справжньому не управляє Macs, тому потрібно окреме рішення (думаю, OS X Server). Ви можете приєднати Mac до домену, але це не більше, ніж дозволити їм отримати автентифікацію за допомогою мережевих облікових даних, встановити адміністраторів домену як локальних адміністраторів на mac тощо. Немає групової політики. MS намагається порушити цю проблему за допомогою новіших версій SCCM, які стверджують, що можуть розгортати програми для Mac та * nix коробки, але я ще не бачив її у виробничих умовах. Я також вважаю, що ви могли налаштувати Mac для підключення до OS X Server, який би підтвердив автентифікацію до вашого каталогу, що базується на AD, але я можу помилитися.
Незважаючи на це, можуть бути розроблені творчі рішення, наприклад, пропозиція Евана щодо використання OpenVPN в якості сервісу та відключення серверної машини, якщо / коли настане час відпустити цього співробітника.
Здається, все на базі Google, тому Google виступає як ваш сервер ldap? Я б порекомендував своєму клієнту зберегти це таким чином, якщо це можливо. Я не знаю природу вашого бізнесу, але для таких веб-додатків, як сервер git або redmine, навіть коли установка в будинку може аутентифікуватись з OAuth, скориставшись обліковим записом Google.
Нарешті, така установка дорожнього воїна, як майже ця, потребує успішного VPN. Після того, як машини будуть введені в офіс і налаштовані (або налаштовані дистанційно за допомогою скрипту), їм потрібен спосіб отримання будь-яких змін у конфігурації.
Маки потребували б окремого підходу до управління на додаток до VPN, це дуже погано, що вони більше не роблять справжніх серверів mac, але у них відбулися пристойні реалізації політики в OS X Server останній раз, коли я перевірив (пару років тому ).