Windows Server in DMZ - gestito via AD o standalone?

Il tuo ragionamento è giusto.

I tuoi server DMZ collegati al tuo dominio interno rappresentano un rischio da evitare. Solitamente un dominio Active Directory separato per la tua DMZ o l'esecuzione di ciascun server standalone è l'opzione migliore.

Un ambiente piccolo potrebbe andare bene con standalone, ma oltre una dozzina circa di server o con un team più ampio di personale, un dominio separato potrebbe essere più facile da gestire. Potresti avere un trust esistente tra il tuo dominio DMZ e il dominio interno, ma dovrebbe essere gestito con cura.

Avrai sempre la necessità di connettere parti della tua DMZ alla tua rete interna (ad esempio i server proxy), ma dovrebbe sempre essere strettamente necessario. Inoltre, se la tua DMZ viene compromessa e qualcuno può rubare le credenziali di un amministratore DMZ, non avranno automaticamente accesso al tuo dominio interno.

Accettando ciò che è stato detto cercherò di dare una visione diversa. L'AD è un rischio per la sicurezza indipendentemente da dove viene utilizzato. La quantità di tempo che di solito impiega un avversario per ottenere il controllo di un'intera rete di solito si riduce drasticamente quando è presente un annuncio. Ci sono così tanti strumenti di attacco ai biglietti PTH \ PTT \ Golden che ho perso il conto. Ovviamente questa è la tensione infinita tra sicurezza e capacità di gestire e gestire una rete su larga scala. Se non è assolutamente necessario, non aggiungerei i server DMZ a nessun dominio e trattarli come entità esterne, indurendoli e fornendo una password diversa impostata per ciascuno. Limitazione della connettività nella rete solo per il business case necessario.