Самый легкий способ сохранить время синхронизировавшим на кластере VMware
Обычно то, что я делаю, имеют одного пользователя для внешних услуг по направлению, которому не разрешают войти в систему ("никто", например), и одна учетная запись, которой позволяют вход в систему и su или sudo. Естественно удостоверьтесь, что Ваши имена пользователей отличаются и не являются легко отгадываемыми.
Я не вижу наличие одного пользователя на сервис по мере необходимости, если Вы не выполняете общую среду хостинга, где у каждого клиента есть вход в систему. Если Вы реалистично рассматриваете себя как очень привлекательную цель для взламывания, можно также изолировать как можно больше. Однако, если Вы не делаете что-то очень спорное или размещаете финансовые данные, Вы не действительно настолько привлекательны из цели.
В статье VMware, на которую вы ссылались, рекомендуется использовать службу Windows Time (w32time), настроенную для синхронизации с NTP, а не иерархию доменов. (По общему признанию, VMware несколько колебалась в этом вопросе на протяжении многих лет, но это текущая рекомендуемая передовая практика.) Это не «взлом» - это просто нестандартная конфигурация службы w32time.
Ваш физические машины по-прежнему будут синхронизироваться с виртуальным контроллером домена (DC), поскольку его экземпляр w32time будет считать себя авторитетным сервером времени.