Jeśli próbujesz przekonać kierownictwo, dobrym początkiem byłoby:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Aktualizacja : zobacz ten artykuł technet na temat zabezpieczania kontrolerów domeny przed atakiem oraz sekcję zatytułowaną Perimeter Firewall Restrictions:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
I sekcja zatytułowana Blocking Internet Access for Domain Controllers:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Jestem pewien, że możesz zebrać trochę dokumentacji Microsoft w tej sprawie, więc to tyle. Oprócz tego możesz podać zagrożenia związane z takim ruchem, coś w stylu:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
Pamięci podręczne są po prostu buforowane. Działają na komputerze lokalnym, gdy nie może połączyć się z domeną , ale gdyby to konto zostało wyłączone, nie działałyby dla żadnego zasobu sieciowego (svn, VPN, smb, FBI, cia itp.), Więc nie muszą się o to martwić . Pamiętaj również, że użytkownicy mają już pełne prawa do dowolnych plików w swoim folderze profilu na komputerze lokalnym (i prawdopodobnie na nośnikach wymiennych), więc zablokuj poświadczenia, czy nie, mogą zrobić to, co im się podoba z tymi danymi. Nie działałyby również dla komputera lokalnego po ponownym połączeniu z siecią.
Czy masz na myśli usługi świadczone przez Active Directory lub kontroler domeny, takie jak LDAP? Jeśli tak, LDAP jest często bezpiecznie dzielony na potrzeby uwierzytelniania i wyszukiwania w katalogach, ale samo wyłączenie Zapory systemu Windows (lub otwarcie wszystkich wymaganych portów dla społeczeństwa - w tym przykładzie to samo) może spowodować poważne problemy.
AD tak naprawdę nie zarządza komputerami Mac, więc wymagane byłoby osobne rozwiązanie (pomyśl OS X Server). Możesz dołączyć komputer Mac do domeny, ale to niewiele więcej niż pozwala na uwierzytelnianie przy użyciu poświadczeń sieciowych, ustawianie administratorów domeny jako lokalnych administratorów na komputerze Mac itp. Brak zasad grupy. MS próbuje przełamać ten grunt dzięki nowszym wersjom SCCM, które twierdzą, że są w stanie wdrażać aplikacje na komputery Mac i * nix box, ale nie widziałem tego jeszcze w środowisku produkcyjnym. Wierzę również, że możesz skonfigurować Maca, aby łączył się z OS X Server, który uwierzytelniałby się w katalogu opartym na AD, ale mogę się mylić.
Biorąc to pod uwagę, można opracować pewne kreatywne rozwiązania, takie jak sugestia Evana, aby użyć OpenVPN jako usługi i wyłączyć certyfikat maszyny, jeśli / kiedy przyjdzie czas na zwolnienie tego pracownika.
Wygląda na to, że wszystko jest oparte na Google, więc Google działa jak Twój serwer LDAP? Polecam mojemu klientowi, aby zachował to w ten sposób, jeśli to w ogóle możliwe. Nie znam charakteru Twojej firmy, ale w przypadku aplikacji internetowych, takich jak serwer git lub redmine, nawet jeśli konfiguracja wewnętrzna może uwierzytelniać się za pomocą OAuth, korzystając z konta Google.
Wreszcie, konfiguracja roadwarrior, taka jak ta, prawie wymagałaby VPN, aby odnieść sukces. Gdy maszyny zostaną wprowadzone do biura i skonfigurowane (lub skonfigurowane zdalnie za pomocą skryptu), potrzebują sposobu na otrzymanie wszelkich zmian w konfiguracji.
Mac wymaga oddzielnego podejścia do zarządzania oprócz VPN, szkoda, że nie robią już prawdziwych serwerów Mac, ale mieli kilka dobrych implementacji zasad w OS X Server, kiedy sprawdzałem ostatni raz (kilka lat temu ).