Se você está tentando convencer a gerência, um bom começo seria:
It goes against Microsoft's Best Practices for Active Directory Deployment.
Atualização : consulte este artigo técnico sobre a proteção de controladores de domínio contra ataques e a seção intitulada Perimeter Firewall Restrictionsque declara:
Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet.
E a seção intitulada Blocking Internet Access for Domain Controllersque afirma:
Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet
Tenho certeza de que você pode reunir alguma documentação da Microsoft sobre o assunto, então é isso. Além disso, você pode indicar os riscos de tal mudança, algo como:
A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.
As credenciais em cache são exatamente isso - armazenadas em cache. Eles trabalham para a máquina local quando não pode se conectar ao domínio , mas se essa conta fosse desativada, eles não funcionariam para nenhum recurso de rede (svn, vpn, smb, fbi, cia etc.), portanto, não precisam se preocupar com isso. . Lembre-se também de que os usuários já têm direitos totais sobre todos os arquivos em sua pasta de perfil em uma máquina local de qualquer maneira (e provavelmente mídia removível), para que as credenciais desabilitadas ou não possam fazer o que quiserem com esses dados. Eles também não funcionariam para a máquina local, uma vez que ela se reconecta à rede.
Você está se referindo aos serviços que o Active Directory ou um controlador de domínio fornece, como LDAP? Nesse caso, o LDAP geralmente é dividido de maneira segura para fins de autenticação e consulta de diretório, mas apenas desligar o Firewall do Windows (ou abrir todas as portas necessárias ao público - a mesma coisa neste exemplo) pode causar problemas graves.
O AD não gerencia verdadeiramente Macs; portanto, seria necessária uma solução separada (pense no OS X Server). Você pode ingressar um Mac em um domínio, mas isso faz pouco mais do que deixá-los se autenticar com credenciais de rede, definir administradores de domínio como administradores locais no mac, etc. Nenhuma diretiva de grupo. A Microsoft está tentando violar esse ponto com versões mais recentes do SCCM que afirmam poder implantar aplicativos em macs e * nix boxes, mas ainda não o vi em um ambiente de produção. Também acredito que você pode configurar os macs para se conectarem ao OS X Server, o qual se autentica no diretório com base no AD, mas posso estar errado.
Dito isso, algumas soluções criativas podem ser criadas, como a sugestão de Evan de usar o OpenVPN como serviço e desativar o certificado da máquina se / quando chegar a hora de deixar o funcionário ir embora.
Parece que tudo é baseado no Google, então o Google está agindo como seu servidor LDAP? Eu recomendaria que meu cliente continuasse assim, se possível. Não sei a natureza da sua empresa, mas para aplicativos baseados na Web, como um servidor git ou redmine, mesmo quando a configuração interna pode autenticar com o OAuth, aproveitando uma conta do Google.
Por fim, uma configuração de roadwarrior como essa exigiria quase que uma VPN fosse bem-sucedida. Depois que as máquinas são trazidas para o escritório e configuradas (ou configuradas remotamente por meio de script), elas precisam de uma maneira de receber quaisquer alterações na configuração.
Os macs precisariam de uma abordagem de gerenciamento separada, além da VPN, é uma pena que eles não criem mais servidores mac reais, mas eles tiveram algumas implementações de políticas decentes no OS X Server na última vez que verifiquei (alguns anos atrás) )