Jika Anda mencoba meyakinkan manajemen, awal yang baik adalah:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Pembaruan : Lihat artikel technet ini tentang mengamankan pengontrol domain terhadap serangan, dan bagian berjudul Perimeter Firewall Restrictionsyang menyatakan:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
Dan bagian berjudul Blocking Internet Access for Domain Controllersyang menyatakan:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Saya yakin Anda dapat menghidupkan beberapa dokumentasi Microsoft tentang masalah ini, jadi begitu. Selain itu, Anda dapat menyatakan bahaya dari langkah tersebut, sesuatu di sepanjang baris:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
Kredensial yang di-cache hanya itu - di-cache. Mereka bekerja untuk mesin lokal ketika tidak dapat terhubung ke domain , tetapi jika akun itu dinonaktifkan mereka tidak akan bekerja untuk sumber daya jaringan apa pun (svn, vpn, smb, fbi, cia, dll) sehingga mereka tidak perlu khawatir tentang itu . Ingat juga bahwa pengguna sudah memiliki hak penuh atas file apa pun di folder profil mereka pada mesin lokal (dan kemungkinan media yang dapat dilepas) sehingga menonaktifkan kredensial atau tidak, mereka dapat melakukan apa pun yang mereka inginkan dengan data itu. Mereka juga tidak akan bekerja untuk mesin lokal setelah terhubung kembali ke jaringan.
Apakah Anda merujuk ke layanan yang disediakan Direktori Aktif atau Pengontrol Domain, seperti LDAP? Jika demikian, LDAP sering pecah dengan aman untuk keperluan otentikasi dan kueri direktori, tetapi hanya mematikan Windows Firewall (atau membuka semua port yang diperlukan hingga publik - Hal yang sama dalam contoh ini) dapat menyebabkan masalah parah.
AD tidak benar-benar mengelola Mac, jadi solusi terpisah diperlukan (pikirkan OS X Server). Anda dapat bergabung dengan Mac ke domain tetapi itu tidak lebih dari membiarkan mereka autentik dengan kredensial jaringan, mengatur admin domain sebagai admin lokal di mac, dll. Tidak ada kebijakan grup. MS sedang mencoba untuk melanggar tanah itu dengan versi SCCM yang lebih baru yang mengklaim dapat menyebarkan aplikasi ke mac dan kotak * nix, tetapi saya belum melihatnya di lingkungan produksi. Saya juga percaya Anda dapat mengkonfigurasi mac untuk terhubung ke OS X Server yang akan mengotentikasi ke direktori berbasis AD Anda, tetapi saya bisa saja salah.
Karena itu, beberapa solusi kreatif dapat dirancang, seperti saran Evan untuk menggunakan OpenVPN sebagai layanan, dan menonaktifkan sertifikat mesin jika / ketika tiba saatnya untuk membiarkan karyawan itu pergi.
Sepertinya semuanya berbasis Google, jadi Google bertindak sebagai server ldap Anda? Saya akan merekomendasikan klien saya tetap seperti itu jika memungkinkan. Saya tidak tahu sifat bisnis Anda, tetapi untuk aplikasi berbasis web seperti server git atau redmine, bahkan ketika pengaturan di rumah dapat mengautentikasi dengan OAuth, mengambil keuntungan dari akun Google.
Terakhir, pengaturan roadwarrior seperti ini hampir membutuhkan VPN agar berhasil. Setelah mesin dibawa ke kantor dan dikonfigurasikan (atau dikonfigurasi dari jarak jauh melalui skrip), mereka membutuhkan cara untuk menerima perubahan dalam konfigurasi.
Mac akan membutuhkan pendekatan manajemen terpisah selain VPN, sayang sekali mereka tidak membuat server mac nyata lagi, tetapi mereka memang memiliki beberapa implementasi kebijakan yang layak di OS X Server terakhir kali saya periksa (beberapa tahun yang lalu) ).