mso*_*son 3 windows domain-controller
过去建议域服务器不包含其他功能。
CEO 和外部 IT 公司不断提出他们希望将这些服务器用于附加功能 - 例如 FTP/邮件/等。
安全性是否有所提高以使这种情况正常?我对 CEO 的建议并不感到惊讶,但我很惊讶外部 IT 公司会提出这样的建议。我是不是跟不上时代了?
域服务器的妥协似乎非常严重,以至于我将这些机器完全锁定。
编辑 - 感谢您的回复
听起来事情没有改变,DC 上不应该安装任何东西。我真的对外部 IT 组织的建议感到困惑。他们都在暗示这是可以的。
我的观点是 DC 是 DC,没有其他任何内容。这些是您组织中最重要的服务器,如果其中一个出现任何问题,您可能会在不知不觉中失去一切。任何认为“该服务器没有做太多事情,让我们在其上加载尽可能多的额外角色”的人都没有抓住要点,并且可能不知道他们在说什么。
还要考虑 DC 没有本地帐户;没有本地帐户,第三方软件可能无法正常运行,您可能还会发现其中一些软件需要在管理上下文中运行才能工作。您会让需要在管理上下文中运行的第三方软件放到 DC 上吗?特别是考虑到这通常表明开发人员足够草率以采取阻力最小的路径而不是正确地做?这个由草率开发人员制作的软件将能够对您的整个网络做任何事情。(注意:我不是在这里谈论硬性规定,例如您可能别无选择的备份代理。)
只读 DC 完全是另一回事。在这种情况下,我会放宽“不做其他事情”的政策,但仍会保持一定程度的谨慎。