> ну прям не знаю.. вы считаете что взломав одну машину из 1000 > = поиметь весь домен, это нормально? > есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный > промах в обходе аутентификации, то надо это признавать. > P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что > ;) > куда без AD то?Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС. Админю и винду и юниксы. Еще раз пропишу для заторможенных, взломав одну машину в домене злоумышленник поимеет только эту машину. Если (1) он внедрит на нее троян, если (2) потом за нее сядет сисадмин, и если (3) введет логин и пароль пользователя с полномочиями Администратора домена, злоумышленник поимеет весь домен. Но это и так очевидно, он может хоть с затрояненного Linux, хоть с iPhone зайти, результат будет аналогичен. Причем тут Винда - совершенно неясно. Это то же самое что через плечо пароль подглядеть, но отчего-то подается с таким пафосом, как былинный провал. Надо заметить, что админить рабочие станции не обязательно от имени администратора домена, можно это и под локальным администратором делать. Вот только придется на каждой машине сделать ему уникальный пароль, иначе затея теряет смысл. Зто очень неудобно, а сисадмины народ ленивый.
|