경영진을 설득하려는 경우 다음과 같이 시작하십시오.
It goes against Microsoft's Best Practices for Active Directory Deployment.
업데이트 : 공격으로부터 도메인 컨트롤러를 보호하는 방법에 대한 이 기술 문서 와 제목 Perimeter Firewall Restrictions
이 있는 섹션을 참조하십시오 .
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
그리고 제목 Blocking Internet Access for Domain Controllers
은 다음과 같습니다.
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
문제에 관한 Microsoft 문서를 정리할 수 있다고 확신합니다. 그 외에도 다음과 같은 내용으로 이러한 이동의 위험을 설명 할 수 있습니다.
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
캐시 된 자격 증명은 캐시 된 것입니다. 도메인에 연결할 수 없을 때 로컬 컴퓨터에서 작동 하지만 해당 계정이 비활성화되어 있으면 네트워크 리소스 (svn, vpn, smb, fbi, cia 등)에 대해 작동하지 않으므로 걱정할 필요가 없습니다. . 또한 사용자는 로컬 컴퓨터의 프로필 폴더에있는 모든 파일 (이동식 미디어)에 대한 모든 권한을 이미 가지고 있으므로 자격 증명을 비활성화했거나 해당 데이터로 원하는 작업을 수행 할 수 없습니다. 로컬 컴퓨터가 네트워크에 다시 연결되면 로컬 컴퓨터에서도 작동하지 않습니다.
LDAP와 같이 Active Directory 또는 도메인 컨트롤러가 제공하는 서비스를 언급하고 있습니까? 그렇다면 LDAP는 인증 및 디렉토리 조회를 위해 보안이 강화되는 경우가 많지만 Windows 방화벽을 끄거나 (필요한 모든 포트를 공개적으로 공개-이 예제와 동일) 심각한 문제가 발생할 수 있습니다.
AD는 실제로 Mac을 관리 하지 않으므로 별도의 솔루션이 필요합니다 (OS X Server 생각). Mac에 도메인에 가입 할 수는 있지만 네트워크 자격 증명으로 인증하고 도메인 관리자를 Mac의 로컬 관리자로 설정하는 것 이상을 수행 할 수 있습니다. 그룹 정책 없음. MS는 mac 및 * nix 상자에 응용 프로그램을 배포 할 수 있다고 주장하는 최신 버전의 SCCM을 사용하여 이러한 상황을 극복하려고 노력하고 있지만 아직 프로덕션 환경에서는 볼 수 없습니다. 또한 AD 기반 디렉토리를 인증하는 OS X Server에 연결하도록 Mac을 구성 할 수 있다고 생각하지만 잘못되었을 수 있습니다.
즉, OpenVPN을 서비스로 사용하고 직원이 퇴근 할 때가되면 기계 인증서를 사용하지 않도록하는 Evan의 제안과 같은 일부 창의적인 솔루션을 고안 할 수 있습니다.
모든 것이 Google을 기반으로하는 것처럼 들리므로 Google이 LDAP 서버 역할을하고 있습니까? 가능한 한 고객이 그렇게하는 것이 좋습니다. 비즈니스의 특성을 모르지만 git 또는 redmine 서버와 같은 웹 기반 앱의 경우 사내 설정이 Google 계정을 활용하여 OAuth로 인증 할 수있는 경우에도 마찬가지입니다.
마지막으로 이와 같은로드 워리어 설정은 거의 성공 하려면 VPN이 필요 합니다. 컴퓨터를 사무실로 가져 와서 구성하거나 스크립트를 통해 원격으로 구성한 후에는 구성 변경 사항을 수신 할 수있는 방법이 필요합니다.
맥은 VPN 외에도 별도의 관리 접근 방식이 필요하지만 더 이상 실제 맥 서버를 만들지 않지만 너무 나쁘지만 마지막으로 확인했을 때 OS X Server에서 적절한 정책 구현을했습니다 (2 년 전) ).