หากคุณพยายามโน้มน้าวให้ผู้บริหารเริ่มต้นที่ดีก็คือ:
It goes against Microsoft's Best Practices for Active Directory Deployment.
อัปเดต : ดูบทความด้านเทคนิคเกี่ยวกับการรักษาความปลอดภัยของตัวควบคุมโดเมนจากการถูกโจมตีและส่วนที่มีชื่อว่าPerimeter Firewall Restrictions
:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
และหัวข้อBlocking Internet Access for Domain Controllers
ที่ระบุว่า:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
ฉันแน่ใจว่าคุณสามารถตีพิมพ์เอกสารของ Microsoft เกี่ยวกับเรื่องนี้ได้ นอกจากนั้นคุณสามารถระบุอันตรายของการเคลื่อนไหวดังกล่าวซึ่งเป็นไปตาม:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
ข้อมูลรับรองแคชเป็นแบบนั้น - แคช พวกเขาทำงานกับเครื่องในพื้นที่เมื่อไม่สามารถเชื่อมต่อกับโดเมนได้ แต่หากบัญชีนั้นถูกปิดใช้งานพวกเขาจะไม่ทำงานกับทรัพยากรเครือข่ายใด ๆ (svn, vpn, smb, fbi, cia ฯลฯ ) ดังนั้นพวกเขาจึงไม่ต้องกังวลเกี่ยวกับเรื่องนั้น . โปรดจำไว้ว่าผู้ใช้มีสิทธิ์เต็มที่ในไฟล์ใด ๆ ในโฟลเดอร์โพรไฟล์ของพวกเขาในเครื่องท้องถิ่น (และสื่อที่ถอดได้) น่าจะปิดการใช้งานข้อมูลประจำตัวหรือไม่พวกเขาสามารถทำสิ่งที่พวกเขาพอใจกับข้อมูลนั้น พวกเขายังไม่สามารถใช้งานได้กับเครื่องท้องถิ่นเมื่อเชื่อมต่อกับเครือข่ายอีกครั้ง
คุณหมายถึงบริการที่ Active Directory หรือ Domain Controller ให้เช่น LDAP หรือไม่? ถ้าเป็นเช่นนั้น LDAP มักจะถูกแยกออกอย่างปลอดภัยเพื่อวัตถุประสงค์ในการรับรองความถูกต้องและการสืบค้นไดเรกทอรี แต่เพียงปิดไฟร์วอลล์ Windows (หรือเปิดพอร์ตที่จำเป็นทั้งหมดสู่สาธารณะ - สิ่งเดียวกันในตัวอย่างนี้) อาจทำให้เกิดปัญหาร้ายแรง
โฆษณาไม่ได้จัดการ Macs อย่างแท้จริงดังนั้นจึงจำเป็นต้องใช้โซลูชันแยกต่างหาก (คิดว่า OS X Server) คุณสามารถเข้าร่วม Mac กับโดเมน แต่ทำได้น้อยกว่าปล่อยให้พวกเขารับรองความถูกต้องกับเครือข่ายข้อมูลประจำตัวตั้งค่าผู้ดูแลระบบโดเมนเป็นผู้ดูแลท้องถิ่นบน mac ฯลฯ ไม่มีนโยบายกลุ่ม MS กำลังพยายามฝ่าฝืนเรื่องนั้นด้วย SCCM เวอร์ชันใหม่ที่อ้างว่าสามารถปรับใช้แอพพลิเคชั่นให้กับ mac และกล่อง * nix แต่ฉันยังไม่เห็นมันในสภาพแวดล้อมการใช้งานจริง ฉันยังเชื่อว่าคุณสามารถกำหนดค่าแม็คเพื่อเชื่อมต่อกับ OS X Server ซึ่งจะรับรองความถูกต้องกับไดเรกทอรีโฆษณาของคุณ แต่ฉันอาจผิด
ดังที่ได้กล่าวไปแล้วว่าอาจมีการคิดแก้ปัญหาที่สร้างสรรค์เช่น Evan แนะนำให้ใช้ OpenVPN เป็นบริการและปิดการใช้งานเครื่องใบรับรองหาก / เมื่อถึงเวลาที่พนักงานต้องไป
ดูเหมือนว่าทุกอย่างเป็นของ Google ดังนั้น Google จึงทำหน้าที่เป็นเซิร์ฟเวอร์ ldap ของคุณหรือไม่ ฉันอยากจะแนะนำให้ลูกค้าของฉันทำอย่างนั้นถ้าเป็นไปได้ ฉันไม่ทราบลักษณะธุรกิจของคุณ แต่สำหรับแอปที่ใช้เว็บเช่นเซิร์ฟเวอร์คอมไพล์หรือเซิร์ฟเวอร์ Redmine แม้ว่าการติดตั้งในบ้านจะสามารถรับรองความถูกต้องกับ OAuth ได้โดยใช้ประโยชน์จากบัญชี Google
ท้ายสุดการตั้งค่า Roadwarrior เช่นนี้เกือบจะต้องใช้ VPN เพื่อให้สำเร็จ เมื่อเครื่องถูกนำเข้ามาในสำนักงานและกำหนดค่า (หรือกำหนดค่าจากระยะไกลผ่านสคริปต์) พวกเขาต้องการวิธีรับการเปลี่ยนแปลงใด ๆ ในการกำหนดค่า
แม็คจะต้องใช้วิธีการจัดการที่แยกต่างหากนอกเหนือจาก VPN มันแย่เกินไปที่พวกเขาจะไม่สร้างเซิร์ฟเวอร์ mac จริงอีกต่อไป แต่พวกเขามีการใช้นโยบายที่เหมาะสมใน OS X Server ครั้งสุดท้ายที่ฉันตรวจสอบ (สองสามปีที่ผ่านมา )