Только думайте о стоимости AD, думайте о том, что это добавляет
Все те вещи могут уменьшить сложность и улучшить безопасность в онлайн-сайте - путем централизации материала, который Вы, надо надеяться, помогаете развернуть последовательно.
Теперь, когда не то же как развертывающийся правильно/надежно, конечно, но это действительно означает, что, после того как Вы выясняете то, что означает корректное/безопасное развертывание, только необходимо разобраться в нем однажды на централизованном изображении ОС и настройках, и это может последовательно выставляться к новым серверам. Полезный и для расширения Ваших систем должен, необходимо сделать это и для создания test/dev среды, которые совпадают с рабочей сетью.
Если большинство Ваших проблем до ошибок (и для большинства из нас, они), затем, AD делает автоматизацию и совместное использование ресурсов легче сделать, уменьшая возможности сделать те ошибки.
У нас есть все наши серверы в домене, где я работаю, по причинам я даю выше (отдельный домен от стороны локальной сети вещей). Существуют риски и затраты для этого подхода, слишком конечно. Необходимо рассмотреть обе стороны и принять сбалансированное решение.
Это будет полностью зависеть от того, чего вы пытаетесь достичь, и от того, что содержится в объекте групповой политики (хотя понятные имена - это здорово, многие ужасные администраторы помещают в объекты групповой политики вещи, которые не имеют ничего общего с name, не делайте предположений о том, что он делает).
Использование WSUS на контроллерах домена имеет смысл, как и на всех компьютерах в организации. Но только если у вас настроен WSUS и вы хотите применить его к этим компьютерам.
Если клиент находится за брандмауэром или устройством NAT, это предотвратит успешное соединение.В пассивном режиме канал данных открыт в противоположном направлении: клиент отправит команду PASV, и сервер начнет прослушивание на случайном свободном порте (обычно в динамическом диапазоне) и указать клиенту подключиться к этому порту.
Пассивный режим используется гораздо чаще, потому что брандмауэр, настроенный на сервере или рядом с ним, относительно легко обнаруживает command и разрешите новое соединение. С другой стороны, соединение в активном режиме требует, чтобы клиент мог принять соединение, исходящее от сервера, и это обычно вообще не работает, когда находится за устройством NAT или корпоративным брандмауэром.
решение обычно состоит в том, чтобы полностью отключить активный режим на сервере или убедиться, что все клиенты используют пассивный режим. Обычно это не проблема современных клиентов (которые по умолчанию работают в активном режиме), но может быть проблемой для более старых версий или сценариев FTP.