আপনি যদি ম্যানেজমেন্টকে বোঝানোর চেষ্টা করেন তবে একটি ভাল শুরুটি হ'ল:
It goes against Microsoft's Best Practices for Active Directory Deployment.
আপডেট : আক্রমণের বিরুদ্ধে ডোমেন নিয়ন্ত্রকদের সুরক্ষার বিষয়ে এই টেকনেট নিবন্ধটি দেখুন এবং শিরোনামে এই বিভাগটি দেখুন Perimeter Firewall Restrictions
:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
এবং বিভাগে শিরোনামে বিভাগটি Blocking Internet Access for Domain Controllers
:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
আমি নিশ্চিত যে আপনি এই বিষয়ে কিছু মাইক্রোসফ্ট ডকুমেন্টেশন ড্রাম করতে পারেন, তাই এটি। এগুলি ছাড়াও, আপনি এই ধরনের পদক্ষেপের বিপদগুলি বর্ণনা করতে পারেন, এর লাইন বরাবর এমন কিছু:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
ক্যাশেড শংসাপত্রগুলি কেবল - ক্যাশেড। তারা স্থানীয় মেশিনের জন্য কাজ করে যখন এটি ডোমেনে সংযুক্ত হতে পারে না , তবে যদি সেই অ্যাকাউন্টটি অক্ষম করা থাকে তবে তারা কোনও নেটওয়ার্ক সংস্থান (এসএনএন, ভিপিএন, এসএমবি, এফবিআই, সিআই, ইত্যাদি) এর জন্য কাজ করবে না, সুতরাং তাদের এটি নিয়ে উদ্বিগ্ন হওয়ার দরকার নেই । এছাড়াও মনে রাখবেন যে ব্যবহারকারীরা যে কোনও উপায়ে স্থানীয় মেশিনে তাদের প্রোফাইল ফোল্ডারে কোনও ফাইল (এবং সম্ভবত অপসারণযোগ্য মিডিয়া) এর উপর সম্পূর্ণ অধিকার রয়েছে তাই অক্ষম শংসাপত্রগুলি না তারা সেই ডেটা দিয়ে যা খুশি তা করতে পারে না। স্থানীয় মেশিনটি নেটওয়ার্কে পুনরায় সংযোগ স্থাপনের পরে তারাও কাজ করবে না।
আপনি কি সেই পরিষেবাগুলি উল্লেখ করছেন যা অ্যাক্টিভ ডিরেক্টরি বা কোনও ডোমেন কন্ট্রোলার সরবরাহ করে, যেমন এলডিএপি? যদি তাই হয়, প্রমাণীকরণ এবং ডিরেক্টরি অনুসন্ধানের উদ্দেশ্যে LDAP প্রায়শই সুরক্ষিতভাবে বিচ্ছিন্ন হয়ে যায় তবে উইন্ডোজ ফায়ারওয়াল বন্ধ করে দেওয়া (বা সমস্ত প্রয়োজনীয় পোর্ট সর্বসাধারণের কাছে উন্মুক্ত করা যায় - উদাহরণস্বরূপ একই জিনিস) গুরুতর সমস্যা সৃষ্টি করতে পারে।
এডি প্রকৃতপক্ষে ম্যাকগুলি পরিচালনা করে না , সুতরাং একটি পৃথক সমাধান প্রয়োজন হবে (ওএস এক্স সার্ভার মনে করুন)। আপনি কোনও ম্যাককে কোনও ডোমেনে যোগ দিতে পারেন তবে এটি নেটওয়ার্ক শংসাপত্রাদি দিয়ে তাদের লেখার অনুমতি দেওয়া, ম্যাকের উপর ডোমেন প্রশাসকদের স্থানীয় প্রশাসক হিসাবে সেট করা ইত্যাদির চেয়ে বেশি কিছু করে না No কোনও গোষ্ঠী নীতি নেই। এমএস এসসিসিএমের নতুন সংস্করণগুলি যে ম্যাকস এবং * নিক্স বাক্সগুলিতে অ্যাপ্লিকেশন স্থাপন করতে সক্ষম বলে দাবি করেছে তার সাথে এই ভিত্তিকে লঙ্ঘন করার চেষ্টা করছে, তবে আমি এখনও এটি উত্পাদন পরিবেশে দেখতে পাইনি। আমি এটিও বিশ্বাস করি যে আপনি ওএস এক্স সার্ভারের সাথে সংযোগের জন্য ম্যাকগুলি কনফিগার করতে পারেন যা আপনার AD ভিত্তিক ডিরেক্টরিতে প্রমাণীকরণ করবে তবে আমি ভুল হতে পারি।
বলা হচ্ছে, কিছু সৃজনশীল সমাধান তৈরি করা যেতে পারে যেমন ওপেনভিপিএনকে পরিষেবা হিসাবে ব্যবহার করার জন্য ইভানের পরামর্শ এবং / যখন সময় আসে সেই কর্মচারীকে ছেড়ে দেওয়ার জন্য মেশিনের শংসাপত্রটি অক্ষম করে।
মনে হচ্ছে সবকিছু গুগল ভিত্তিক, তাই গুগল আপনার এলডিপ সার্ভার হিসাবে কাজ করছে? আমি যদি সম্ভব হয় তবে আমার ক্লায়েন্টকে সেভাবে রাখার পরামর্শ দেব। আমি আপনার ব্যবসায়ের প্রকৃতিটি জানি না, তবে গিট বা রেডমাইন সার্ভারের মতো ওয়েব ভিত্তিক অ্যাপ্লিকেশনগুলির জন্য, এমনকি ঘরে সেটআপ যখন কোনও গুগল অ্যাকাউন্টের সুবিধা নিয়ে OAuth এর সাথে প্রমাণীকরণ করতে পারে।
শেষ অবধি, এর মতো রোডওয়্যারিয়র সেটআপ সফল হওয়ার জন্য প্রায় একটি ভিপিএন প্রয়োজন । একবার মেশিনগুলিকে অফিসে এনে কনফিগার করা (বা স্ক্রিপ্টের মাধ্যমে দূরবর্তীভাবে কনফিগার করা) হয়ে গেলে তাদের কনফিগারেশনের কোনও পরিবর্তন পাওয়ার উপায় প্রয়োজন way
ম্যাকদের ভিপিএন ছাড়াও একটি পৃথক পরিচালন পদ্ধতির প্রয়োজন হবে, এটি খুব খারাপ যে তারা আর প্রকৃত ম্যাক সার্ভার তৈরি করে না, তবে ওএস এক্স সার্ভারে শেষবার যখন আমি যাচাই করেছি তখন তাদের কিছু শালীন নীতি বাস্তবায়ন হয়েছে (কয়েক বছর আগে) )।