Цитата wertyg:
|
просто имея возможность локального входа, можно запустить неприятный эксплойт и повысить привилегии, а потом соответственно творить что хочешь, ведь ты домаинАдмин.) »
|
Так же необходимо рассмотреть обратный случай, когда по требованиям безопасности вы либо накатываете ограничительные политики, либо устанавливаете специальное защитное ПО (например Symantec System Critical Protection),
естественно куча софта тут-же перестает работать, что для DC - терпимо, а вот на TS - нет.
Так же нужно понимать, что для TS и DC абсолютно разные требования по нагрузочной способности и использованию системных ресурсов (Представте если кто-нибудь загрузит кодирование фильмов на ночь, а оно не кончится к началу следующего рабочего дня. Знаете как "весело" будут входить в сеть полсотни станций?)
Отдельной песней является группа ошибок DC, которая лечится либо сносом AD c сервера, либо вообще перестановкой.
Пользователи терминального сервера (особенно если там стоит 1С), с умилением воспримут новость, что вам нужно "потерзать" сервер пару дней.
Именно по этому рекомендуют (еще с NT) иметь пару DC, пусть на самых дохлых машинах и со 100Мбит картах, но которые будут выполнять только эту функцию, и больше ничего.
