Si vous essayez de convaincre la direction, un bon début serait que:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Mise à jour : voir cet article technique sur la sécurisation des contrôleurs de domaine contre les attaques, ainsi que la section intitulée Perimeter Firewall Restrictions
:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
Et la section intitulée Blocking Internet Access for Domain Controllers
qui dit:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Je suis sûr que vous pouvez créer de la documentation Microsoft sur le sujet, alors c'est tout. En plus de cela, vous pouvez énoncer les risques d'un tel déménagement, comme suit:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
Les informations d'identification mises en cache ne sont que cela - mis en cache. Ils travaillent pour la machine locale quand il ne peut pas se connecter au domaine , mais si ce compte était désactivé, ils ne fonctionneraient pour aucune ressource réseau (svn, vpn, smb, fbi, cia, etc.), ils n'auraient donc pas à s'inquiéter de cela. . N'oubliez pas non plus que les utilisateurs ont déjà des droits complets sur tous les fichiers de leur dossier de profil sur une machine locale (et probablement sur un support amovible), de sorte que les informations d'identification sont désactivées ou non, ils peuvent faire ce qu'ils veulent avec ces données. Ils ne fonctionneraient pas non plus pour la machine locale une fois que celle-ci serait reconnectée au réseau.
Faites-vous référence aux services fournis par Active Directory ou un contrôleur de domaine, tels que LDAP? Si tel est le cas, LDAP est souvent sécurisé de manière sécurisée à des fins d'authentification et d'interrogation d'annuaire, mais le simple fait de désactiver le pare-feu Windows (ou d'ouvrir tous les ports requis au public - comme dans cet exemple) risque de poser de graves problèmes.
AD ne gère pas vraiment les Macs, une solution distincte serait donc nécessaire (pensez à OS X Server). Vous pouvez associer un Mac à un domaine, mais cela ne leur laisse guère plus d'autoriser les informations d'identification réseau, de définir les administrateurs de domaine comme administrateurs locaux sur le Mac, etc. Aucune stratégie de groupe. MS tente de percer sur ce terrain avec les nouvelles versions de SCCM qui prétendent pouvoir déployer des applications sur des macs et des boîtes * nix, mais je ne l'ai pas encore vu dans un environnement de production. Je pense également que vous pourriez configurer les Mac pour qu'ils se connectent à OS X Server, ce qui permettrait de s'authentifier auprès de votre répertoire basé sur AD, mais je peux me tromper.
Ceci étant dit, certaines solutions créatives pourraient être imaginées, telles que la proposition d'Evan d'utiliser OpenVPN en tant que service et de désactiver le certificat d'ordinateur si / le moment venu de laisser cet employé partir.
On dirait que tout est basé sur Google, alors Google agit comme votre serveur LDAP? Je recommanderais à mon client de le garder de cette façon si possible. Je ne connais pas la nature de votre entreprise, mais pour les applications Web telles que les serveurs Git ou Redmine, même lorsqu'elles sont configurées en interne, elles peuvent s'authentifier auprès de OAuth, en tirant parti d'un compte Google.
Enfin, une configuration de type roadwarrior nécessiterait presque un VPN pour réussir. Une fois que les machines sont entrées dans le bureau et configurées (ou configurées à distance à l'aide d'un script), elles ont besoin d'un moyen de recevoir les modifications de configuration.
Les Mac nécessiteraient une approche de gestion distincte du VPN. Dommage qu’ils ne fabriquent plus de véritables serveurs Mac, mais ils avaient quelques implémentations de stratégies décentes dans OS X Server la dernière fois que j’ai vérifié (il y a quelques années). )