WIN környezetben Hálózati erőforrások hozzáférési módjainak szabályozására ajánlás?

Azért van az AD (LDAP, stb.) hogy amit csak lehet, mindent központilag onnan authentikálj.
(Vagy, én nem értem a kérdést?)

Nem értek hozzá, de ezeket szoktam látni itt-ott.

A Windows tartomány lényege a single-sign-on. Akinek AD-ben van egy felhasználója ott csak pipálgatod, hogy vpn/email legyen-e neki. Ha belépett Windows-os gépről VPN-el a tartomány juzerével, akkor onnantól jelszókérés nélkül fogja elérni a neki engedélyezett hálózati meghajtókat és egyebeket. Azzal tudsz emelni a biztonságon ha mindenki csak a számára fontos file-okhoz fér hozzá. Pl. osztályonként van egy közös share, amit csak az osztály tagjai érhetnek el stb. A 2008-as DC-től kezdve pedig olyan vidám policy-t is bekapcsolhatóak, hogy pl. aktív és frissített víruskergetővel kell rendelkeznie a kliensnek.

Ha távoli asztal kapcsolat is képbe jön, akkor azt mindenképp NTLMv2-vel engedélyezd (volt a HUP-on is hír erről) ÉS csak minimálisan szükséges alkalmazást tegyél a terminál szerverre.

Single Sign On? Identity/Identify Management?

A kérdés az volt, hogy "Van-e arra valami irányelv, hogy mely erőforrások jelszavait lehet /szabad/illik bevenni egy AD alá?" Ez spec. engem is érdekelne, bár nálam AD helyett OpenLDAP van, de nyilván nem ez számít.

Először is az AD arról szól, hogy 1 felhasználó 1 jelszóval rendelkezik és mindenhez azzal authentikál(=SSO). Hogy milyen eszközöket teszel az AD-be, arra tudtommal nincs ajánlás. Az alap szenárió szerint bármilyen objektumot beletehetünk az AD-be(user, nyomtató, gépek stb.), amelyeket osztályokba/csoportokba szervezve rendezetten tárolhatunk. Hozzáférés oldaláról nézve bármilyen eszközt összekapcsolhatunk az AD-vel(pl: domainbe léptetett számítógép, mobiltelefonon futó levelezőprogram), amely képes az AD-ben lévő adatok alapján a saját és más eszköz(objektum) erőforrásaihoz való hozzáférhetőséget eldönteni.
Tehát bármit beletehetsz az AD-be és bárhol használhatod az AD-t, mint címtárat. Én azt szoktam tenni, hogy minden minden asztali számítógépet, minden nyomtatót beleteszek az AD-be. Minden számítógépeken található erőforráshoz(mappák, futó szolgáltatások) az AD-n keresztül férek hozzá, így központilag lehet mondjuk új rendszergazdát felvenni vagy minden gép C:\Alma mappájához a felhasználók egy csoportját hozzárendelni. Hálózati eszközöket(pl: switch, router) nem szoktam AD-be tenni, mivel nem működnek együtt vele. Illetve félő, hogy ha az AD nem megy valamiért, akkor elérhetetlenné válhat a hálózati eszközök konfigurálása is.
Technikailag érdemes figyelni, hogy a telephelyen legyen külön site és AD szerver. Ha nincs, akkor ellehetetlenülhet a működés netkapcsolat megszakadásakor. Windows Server 2008-tól erre jól használható egy RODC szerepkörű szerver is.
Az AD sémáját bővítheted is, így tényleg azt teszel bele, amit akarsz. De ezt csak erős hozzáértés mellett csináld!
Ha jól megnézed, akkor az AD elég sok adatot tárol a felhasználóról. Így triviálisan adódhat mondjuk a levelezés(pl: Exchange így működik) integrálása a központi címtárral. Ezzel rengeteg adminisztrációs feladat egyszerűsödik, nem kell n darab felületet kezelni, megoldott a replikáció is.