NTDS (служба AD) стартует раньше чем DNS. В принципе - ничего страшного, но можно поменять порядок загрузки служб.

Поищите ошибки в журналах машины  192.168.0.1

Приведенные записи лога - уже постфактум блокировки (Kerberos result code 0x12 - ограничение на вход).
Надо искать неудачные поптыки аутентификации (Account Logon Event и Logon Events) с этой учетной записью.

Искать удобно EventCombMT из состава http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Зачастую такое происходит если пользователь "примапил" диск с паролем, а потом пароль сменился (99%), или создал задачу в планировкщике или созадл сервис "под собой". Т.е. надо найти с какой машины идет блокировка, а потом искать на ней причину.

Без проблем. Настраиваешь почтового клиента на получение списка контактов с LDAP/AD и прописываешь каждому пользователю атрибут email.

Все. Теперь ты знаешь.
Команда секлаба очень любит закинутся пилюльками и послушать Бритни. Что делать

ЗЫ. Реклама, как правило - ненужная для реципиента. Она нужная для рекламной площади

DNS имя домена должно быть из "нескольких" слов, например test.local. Но существует также netbios имя домена, которое состоит из одного слова (хотя может содержать и точки). Ограничение на netbios имя - 15 символов.
В обратной зоне должны быть адреса подсети, в которой установлен контроллер. Например, если IP-адрес контроллера 1.2.3.4, то в обратная зона должна быть 1.2.3
"По науке" такая зона называется 3.4.1.in-addr.arpa (первые три октета IP-адреса в обратном порядке).
Если в сети несколько подсетей, например 1.2.3.0/24, 1.2.1.0/24, 1.2.2.0/24, то и заводить надо несколько обратных зон.
После слоздания зоны (рекомендую делать AD Integrated и с опцией Secure Update) на контроллере домена выполнить команду
ipconfig /registerdns и проверить появления записи в обратной зоне.

Наличие обратной зоны очень желательно (обязательно) для увеличени скорости работы, корректной работы Kerberos и применения групповых политик.

Нулевая сессия - достаточно хороший метод утечки информации. Избавится можно http://www.security.ku.edu/docs/doc-viewer.jsp?id=27.
Возможны проблемы с устаревшими клиентами (например Windows NT)

Как уже верно сказал TeckLord - можно экпортировать настройки безопасности в шаблон с помощью secedit или оснасток Security Configuration and Analysis и Security Templates. А потом "накатить" их с помощью этих же утилит или груповой политики. Немного об этом: http://www.osp.ru/win2000/2003/01/175739/

Спорное утверждение. L2TP можно использовать IPSec. Тогда ваш вопрос надо переформулировать так:
"Безопасность IPSec+L2TP в VPN".

В этом случае проблем меньше. По сути - остается online подбор паролей и блокировка учетных записей.
В реализации IPSec Microsoft есть проблема с проверкой сертификатов (http://lists.virus.org/full-disclosure-0506/msg00308.html). Вроде в Vista поправили.

Два ISA ипользуются для организации DMZ в конфигурации "back-to-back"?
Посоветовал бы включить ISA параллельно для балансировки нагрузки и отказоустойчивости и задействовать NLB и CARP (http://www.xakep.ru/magazine/xs/068/014/1.asp).
А Web-серер повесить на отдельный интерфейсы "с боку" в конфигурации "perimeter network".
Хорошие ресурсы:

http://isaserver.ru/ (рус)
http://www.osp.ru/search.html?pd=91018&words=isa+server (рус)

http://isaserver.org/ (eng)
http://www.microsoft.com/isaserver/default.mspx (eng)

Сам по себе l2tp с точки зрения обеспечивает только аутентификацию взаимодействующих сторон на основе внешенго протокола. Причем стойкость аутентификации целиком зависит от применяемого протокола. Если это, например MS-CHAPv2, то существует возможность словарных атак на перехваченную сессию аутентификацию (как и у любого протокола запрос-отклик).
Шифрования данных и криптографический контроль целосности l2tp не реализует, соотвественно - уязвим для атак с прослушиванием/перехватом/внедрением трафика .

В принципе vbscript здесь не нужен, хватит

del /S /Q *.mp3

Если нужен vbscript:

http://blogs.msdn.com/gstemp/archive/2004/08/10/212113.aspx

Если этот файл создается во временных папках интернет, то заражен какой-либо из Web-серверов, которые вы посещаете

Я после долгих метаний остановился на CVSSv2. Не всегда адекватна, только для технологических уязвимостей, но воспроизводима, понятна и "индастри суппортед".

Но методики оценки риска - при составлении модели угроз особо не нужны:)
Тут больше нужны "бест практис", где угрозы перечислены. Их уже оценивать по рискам и ура вперед.

Когда люди в профессиональной говорят только аналогиями, создается впечатление, что им нечего сказать по делу

Измени параметры групповой политики в файле.

\\<dc>\c$\windows\SYSVOL\<domain>\Policies

Default Domain Controllers Policy {6AC1786C-016F-11D2-945F-00C04fB984F9}
Default Domain Policy {31B2F340-016D-11D2-945F-00C04FB984F9}

NETDOM COMPUTERNAME

Самы й простой сбособ - создать контакт для получателя и в этот контакт импортировать сертификат предварительно экспортировав его из письма.

Типа:

http://www.globalsign.com/support/personal-certificate/per_outlook03.html

Здесь пять вакансий
Нарушает - удали.