>> Осталась собственно мелочь - внедрить троян
> опа, так это же в любой сети сплошь и рядом. куда ни
> плюнь антивирус скажет что у вас троян.а да, чаще не скажет
> ;)
> или вы скажите что затроянить одну из 1000 машин типовой компании трудно?

Если должным образом подкручены гайки в плане безопасности - трудно. Достаточно не пускать рядовых пользователей под административной учеткой, настроить автоматическое обновление системы и антивирусного ПО. Совершенно аналогично с Linux.

> 1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
> 2. соц. инженерия
> 3. инсайдеры
>> и заставить админа домена ввести пароль
> вы машину в домен добавляя, разве не аутентифицируетесь?
> вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.

Когда я ввожу машину в домен на ней нет троянов, она развернута с эталонного образа. Для администрирования существует отдельный доменный пользователь, который входит в локальную группу "Администраторы" на рабочих станциях, но не входит в группу "Администраторы домена". Украв его пароль вы не получите доступа к серверам.

> и если вы логинитесь то всё таки чтобы что-то исправить и вам
> всё равно будут нужны права админа.
> думаю уже не так смешно? проблема очень большая.
> это признают любые эксперты по безопасности, но вы не такой ж)

Я что, неясно излагаю свои мысли ? Винда тут каким боком ? Это не проблема домена, это вопрос компромиса между удобством и безопасностью. Либо централизованная аутентификация, либо толмут со списком пользователей/паролей на каждую машину индивидуально и гемморой с организацией общего доступа к разделяемым ресурсам, других вариантов нет. Что хуже в плане безопасности - это еще вопрос. Под Linux вообще нет инструмента хоты-бы частично приближенного по возможностям к Active Directory. Аналогов нет, одни костыли, даже сравнить не с чем. С ростом количества рабочих станций сложность администрирования растет линейно.