Если вы пытаетесь убедить руководство, хорошим началом будет следующее:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Обновление : см. Эту техническую статью о защите контроллеров домена от атак и раздел под названием Perimeter Firewall Restrictions:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
И раздел под названием, в Blocking Internet Access for Domain Controllersкотором говорится:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Я уверен, что вы можете собрать некоторые документы Microsoft по этому вопросу, вот и все. В дополнение к этому, вы могли бы указать на опасность такого шага, что-то вроде:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
Кэшированные учетные данные как раз и кешируются. Они работают на локальном компьютере, когда он не может подключиться к домену , но если эта учетная запись отключена, они не будут работать для любого сетевого ресурса (svn, vpn, smb, fbi, cia и т. Д.), Поэтому им не нужно беспокоиться об этом. , Также помните, что пользователи уже имеют полные права на любые файлы в папке своего профиля на локальном компьютере в любом случае (и, вероятно, на съемном носителе), поэтому отключенные учетные данные или нет они могут делать с этими данными так, как им нравится. Они также не будут работать на локальном компьютере, когда он подключится к сети.
Вы имеете в виду службы, которые предоставляет Active Directory или контроллер домена, например LDAP? Если это так, LDAP часто отключается безопасно для целей проверки подлинности и запросов к каталогам, но простое отключение брандмауэра Windows (или открытие всех необходимых портов для общего доступа - тоже самое в этом примере) может вызвать серьезные проблемы.
AD по-настоящему не управляет компьютерами Mac, поэтому потребуется отдельное решение (например, OS X Server). Вы можете присоединить Mac к домену, но это немного больше, чем авторизация с сетевыми учетными данными, назначение администраторов домена в качестве локальных администраторов на Mac и т. Д. Нет групповой политики. MS пытается выйти на новый уровень с новыми версиями SCCM, которые утверждают, что могут развертывать приложения на компьютерах macs и * nix, но я еще не видел этого в производственной среде. Я также полагаю, что вы можете настроить Mac для подключения к OS X Server, который будет аутентифицироваться в вашем каталоге на основе AD, но я могу ошибаться.
При этом могут быть разработаны некоторые творческие решения, такие как предложение Эвана использовать OpenVPN в качестве службы и отключение сертификата компьютера, если / когда придет время уволить этого сотрудника.
Похоже, все основано на Google, поэтому Google действует как ваш ldap-сервер? Я бы порекомендовал моему клиенту сохранить это, если это вообще возможно. Я не знаю природу вашего бизнеса, но для веб-приложений, таких как git или redmine server, даже когда внутренняя настройка может проходить аутентификацию с OAuth, используя преимущества учетной записи Google.
И, наконец, для такой настройки Roadwarrior практически потребуется VPN для успешной работы. После того, как машины доставлены в офис и настроены (или настроены удаленно с помощью сценария), им необходим способ получения любых изменений в конфигурации.
Макам понадобился бы отдельный подход к управлению в дополнение к VPN, очень жаль, что они больше не делают настоящие Mac-серверы, но у них действительно были некоторые достойные реализации политик в OS X Server в последний раз, когда я проверял (пару лет назад ).