コンピュータをドメインに参加させるかどうか。

WindowsコンピュータをActiveDirectoryドメインに参加させることはトレードオフです。

長所：

• グループポリシーオブジェクト（GPO）によるクライアント管理
• リソースとサービスへのシングルサインオンアクセス
• 資格情報の回復（管理者はパスワードをリセットできます）

短所：

• 自律性の欠如
• 最初の認証のためにネットワークまたはVPNに接続する必要があります（後でキャッシュできます）
• 推移的信頼攻撃（エンドポイントの妥協、サービスまたはシステムへのピボット、暗号ロック共有ファイルシステム）

クライアント管理とシングルサインオンは、職場または組織環境において非常に重要な利点です。クライアントを個別に管理することは、少数のワークステーションが配置されている場合でも、迅速に管理できなくなります。不整合は問題と文書化されていない脆弱性を生みます。クライアント管理を使用すると、パスワードの複雑さ、ローカルファイアウォールルール、ソフトウェアの制限など、作成したセキュリティポリシーの側面を適用できます。

シングルサインオンも非常に有利です。これは、サービスの認証を一元管理できることを意味し、スタッフが1回（理想的に）ログインして、統合されたすべての企業リソースに対して資格情報を透過的に提供できるようにします。これがないと、個々のサービスとユーザーが同じパスワードを再利用して妥協につながる（おそらく不十分な）管理資格情報が急増します。

資格の回復も大きな問題です。これがないと、スタッフはワークステーションにアクセスできずに仕事を失う可能性があります。

管理されていないワークステーションのセキュリティへの影響は、その利点よりも重要だと思います。スタッフメンバーは、定義されたセキュリティポリシーへの献身と、監査対象のマシンを引き継ぐ意欲を示している場合を除き、例外を設ける必要があります。 1つのサイズですべてに対応し、人々を困らせ、コンプライアンス違反を助長します。