Gyanús nekem, hogy marketing alapon van PA rendszer ismereted, de legalábbis túl nagy bizalmat fektetsz beléjük.
VPN -> megvolt
User pass -> megvolt
2nd factor -> megvolt
Ha az usernek vannak permanens PA jogai akkor nem kell kerni ideiglenest, de ha nincs perm PA hozzáférése az adott dologhoz ha kell, akkor kérsz a helyében, ha ezzel dologozik napi szinten, nem is akkora truváj. Vagy lopsz másik hozzáférést egy exploittal.
Van PA-> nekiállsz garázdálkodni, tök mindegy hogy egy időalapú rendszert használsz vagy hogy mindent felvesznek.
Hogy érted hogy minden szervernek? Még egyszer kérdem van belsős infód? Mert itt erről nem esett szó, és nem hinném hogy a szaftos részleteket valaha újságban olvasod, hogy néz ki a belső infra és milyen perimétereken haladt túl a támadó.