Nếu bạn đang cố gắng thuyết phục quản lý, một khởi đầu tốt sẽ là:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Cập nhật : Xem bài viết kỹ thuật này về bảo vệ bộ điều khiển miền chống lại cuộc tấn công và phần có tiêu đề Perimeter Firewall Restrictions
:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
Và phần có tiêu đề Blocking Internet Access for Domain Controllers
:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Tôi chắc chắn rằng bạn có thể đánh trống một số tài liệu của Microsoft về vấn đề này, vì vậy đó là. Ngoài ra, bạn có thể nêu các mối nguy hiểm của việc di chuyển như vậy, một cái gì đó dọc theo dòng:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
Thông tin lưu trữ được lưu trữ chỉ là - lưu trữ. Chúng hoạt động cho máy cục bộ khi không thể kết nối với miền , nhưng nếu tài khoản đó bị vô hiệu hóa, chúng sẽ không hoạt động cho bất kỳ tài nguyên mạng nào (svn, vpn, smb, fbi, cia, v.v.) nên họ không cần lo lắng về điều đó . Ngoài ra, hãy nhớ rằng người dùng đã có toàn quyền đối với bất kỳ tệp nào trong thư mục hồ sơ của họ trên máy cục bộ (và có thể là phương tiện có thể tháo rời) để thông tin đăng nhập bị vô hiệu hóa hoặc họ không thể làm những gì họ muốn với dữ liệu đó. Chúng cũng không hoạt động cho máy cục bộ khi nó kết nối lại với mạng.
Bạn đang đề cập đến các dịch vụ mà Active Directory hoặc Bộ kiểm soát miền cung cấp, chẳng hạn như LDAP? Nếu vậy, LDAP thường được chia ra một cách an toàn cho mục đích xác thực và truy vấn thư mục, nhưng chỉ cần tắt Tường lửa Windows (hoặc mở tất cả các cổng cần thiết cho công chúng - Điều tương tự trong ví dụ này) có thể gây ra sự cố nghiêm trọng.
AD không thực sự quản lý máy Mac, do đó sẽ cần một giải pháp riêng biệt (nghĩ OS X Server). Bạn có thể tham gia máy Mac vào một tên miền nhưng điều đó không chỉ là để chúng tự động xác thực bằng thông tin mạng, đặt quản trị viên tên miền làm quản trị viên cục bộ trên máy Mac, v.v. Không có chính sách nhóm. MS đang cố gắng vi phạm các phiên bản mới hơn của SCCM, tuyên bố rằng có thể triển khai các ứng dụng cho các hộp mac và * nix, nhưng tôi chưa thấy nó trong môi trường sản xuất. Tôi cũng tin rằng bạn có thể định cấu hình máy Mac để kết nối với Máy chủ OS X sẽ xác thực thư mục dựa trên AD của bạn, nhưng tôi có thể sai.
Điều đó đang được nói, một số giải pháp sáng tạo có thể được đưa ra, chẳng hạn như đề xuất của Evan về việc sử dụng OpenVPN làm dịch vụ và vô hiệu hóa chứng chỉ máy nếu / khi đến lúc để nhân viên đó ra đi.
Nghe có vẻ như mọi thứ đều dựa trên Google, vậy Google có hoạt động như máy chủ ldap của bạn không? Tôi sẽ đề nghị khách hàng của tôi giữ nó theo cách đó nếu có thể. Tôi không biết bản chất công việc của bạn, nhưng đối với các ứng dụng dựa trên web như máy chủ git hoặc redmine, ngay cả khi thiết lập trong nhà có thể xác thực với OAuth, tận dụng tài khoản Google.
Cuối cùng, một thiết lập người đi đường như thế này gần như sẽ yêu cầu VPN để thành công. Khi các máy được đưa vào văn phòng và được định cấu hình (hoặc được định cấu hình từ xa bằng cách sử dụng tập lệnh), chúng cần một cách để nhận bất kỳ thay đổi nào trong cấu hình.
Các máy Mac sẽ cần một cách tiếp cận quản lý riêng ngoài VPN, thật tệ khi chúng không tạo máy chủ mac thực sự nữa, nhưng chúng đã có một số triển khai chính sách tốt trong OS X Server lần trước tôi đã kiểm tra (vài năm trước ).