यदि आप प्रबंधन को समझाने की कोशिश कर रहे हैं, तो एक अच्छी शुरुआत यह होगी:
It goes against Microsoft's Best Practices for Active Directory Deployment.
अद्यतन : हमले के खिलाफ डोमेन नियंत्रकों, और उस राज्य शीर्षक वाले खंड को सुरक्षित करने के लिए इस तकनीकी लेख को देखें Perimeter Firewall Restrictions
:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
और वह खंड जिसका शीर्षक Blocking Internet Access for Domain Controllers
है:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
मुझे यकीन है कि आप इस मामले पर कुछ Microsoft दस्तावेज़ों को ड्रम कर सकते हैं, इसलिए ऐसा है। इसके अलावा, आप इस तरह के कदम के खतरों के बारे में बता सकते हैं:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
कैश्ड क्रेडेंशियल्स बस हैं - कैशेड। वे स्थानीय मशीन के लिए काम करते हैं जब यह डोमेन से कनेक्ट नहीं हो सकता है , लेकिन अगर वह खाता अक्षम किया गया था तो वे किसी भी नेटवर्क संसाधन (svn, vpn, smb, fbi, cia, आदि) के लिए काम नहीं करेंगे, इसलिए उन्हें इस बारे में चिंता करने की ज़रूरत नहीं है । यह भी याद रखें कि उपयोगकर्ताओं को पहले से ही किसी स्थानीय मशीन पर अपने प्रोफ़ाइल फ़ोल्डर में किसी भी फाइल पर पूर्ण अधिकार हैं (और संभवत: हटाने योग्य मीडिया) तो अक्षम क्रेडेंशियल या नहीं वे उस डेटा के साथ क्या कर सकते हैं। एक बार जब यह नेटवर्क से जुड़ जाता है तो वे स्थानीय मशीन के लिए भी काम नहीं करेंगे।
क्या आप उन सेवाओं का उल्लेख कर रहे हैं जो सक्रिय निर्देशिका या एक डोमेन नियंत्रक प्रदान करता है, जैसे LDAP? यदि हां, तो प्रमाणीकरण और निर्देशिका क्वेरी के उद्देश्यों के लिए LDAP को अक्सर सुरक्षित रूप से तोड़ दिया जाता है, लेकिन बस Windows फ़ायरवॉल को बंद करने (या जनता के लिए सभी आवश्यक पोर्ट खोलने - इस उदाहरण में एक ही बात) गंभीर समस्याएं पैदा कर सकता है।
AD वास्तव में Mac को प्रबंधित नहीं करता है, इसलिए एक अलग समाधान की आवश्यकता होगी (OS X सर्वर सोचें)। आप किसी डोमेन में मैक से जुड़ सकते हैं, लेकिन यह नेटवर्क क्रेडेंशियल्स के साथ उन्हें छोटा करने की तुलना में बहुत कम करता है, मैक पर स्थानीय ऐडमिट के रूप में डोमेन व्यवस्थापक सेट करें, आदि कोई समूह नीति नहीं। MS SCCM के नए संस्करणों के साथ उस आधार को भंग करने की कोशिश कर रहा है, जो दावा करता है कि macs और * nix बॉक्स पर एप्लिकेशन को तैनात करने में सक्षम है, लेकिन मैंने इसे अभी तक उत्पादन के माहौल में नहीं देखा है। मेरा यह भी मानना है कि आप OS X सर्वर से जुड़ने के लिए macs को कॉन्फ़िगर कर सकते हैं जो आपके AD आधारित निर्देशिका को प्रमाणित करेगा, लेकिन मैं गलत हो सकता है।
कहा जा रहा है कि कुछ रचनात्मक समाधान तैयार किए जा सकते हैं, जैसे कि एक सेवा के रूप में ओपनवीपीएन का उपयोग करने के लिए इवान का सुझाव, और यदि उस कर्मचारी को जाने देने का समय आता है, तो मशीन प्रमाणपत्र को अक्षम करना।
ऐसा लगता है कि सब कुछ Google आधारित है, इसलिए Google आपके ldap सर्वर के रूप में कार्य कर रहा है? मैं अपने मुवक्किल को इस तरह से रखने की सलाह दूंगा यदि संभव हो तो। मुझे आपके व्यवसाय की प्रकृति का पता नहीं है, लेकिन वेब आधारित ऐप्स जैसे git या redmine सर्वर, तब भी जब घर में सेटअप OAuth के साथ प्रमाणित हो सकता है, Google खाते का लाभ उठा सकता है।
अन्त में, रोडवार सेटअप जैसे कि लगभग एक वीपीएन को सफल होना आवश्यक है। एक बार मशीनों को कार्यालय में लाया जाता है और कॉन्फ़िगर किया जाता है (या स्क्रिप्ट के माध्यम से दूरस्थ रूप से कॉन्फ़िगर किया जाता है), उन्हें कॉन्फ़िगरेशन में किसी भी परिवर्तन को प्राप्त करने का एक तरीका चाहिए।
वीपीएन के अलावा मैक को एक अलग प्रबंधन दृष्टिकोण की आवश्यकता होगी, यह बहुत बुरा है कि वे अब असली मैक सर्वर नहीं बनाते हैं, लेकिन उन्होंने ओएस एक्स सर्वर में पिछली बार जब मैंने जाँच की थी (कुछ साल पहले) )।