Кот Абсолютный

Какие тут требуются пояснения? Имя пользователя или пароль неверные, либо имя входит в список запрета (deny_users)

Это немного разные вещи. DD работает на уровне блоков ФС, ему пофиг содержимое. Им можно бэкапить флэшки, DVD, черта лысого - он просто тупо читает блок и пишет блок, как скомандовали. Для бэкапа его конечно можно применять, но не системы, а чего-нибудь мелкого - были времена, дискеты им бэкапил. Можно конечно им и систему бэкапить - если безразмерные винты - потому что dd создает образ ровно такого же размера, как раздел. Ну и восстанавливать нужно на точно такой же винт, что обычно маловероятно. Dump/Restore работает на уровне ФС и создает на выходе файл, в котором только данные. Если на разделе 100Gb занято 1Gb, то выходной файл от dd будет 100Gb, а от dump - 1Gb или меньше.

LanAgent
Стахановец
Использую последний. В настройке непрост, есть клиентская и серверная части. Недешев - примерно 2000 за лицензию на юзера. Лицензирование по подключениям к серверу. Агентский, то есть агента устанавливает. Агента не ловит никто - ни каспер (который на раз-два бахает и стаффа и ланагента) ни др.веб. Состоит из сервера, к которому подключаются агенты и сбрасывают данные и собственно агентов. Клиента нет - вебморда. Управление агентами из вебморды. Перехватывает вообще все, что только можно перехватить. Делает снимки экрана. Пишет клавиатурный ввод. Слушает встроенные микрофоны и видит подключенной камерой - правда мне это не надо, поэтому непроверено. Перехватывает шифрованную почту :-) правда только в Outlook. Перехватывает переписку в скайпе, ICQ. Умеет оповещать админа. Делает снимки экрана при наступлении контролируемого события, например ввел чел строку "ищу работу" - бэмц, скрин и оповещение.
Незаменимая вещь.
Разработчики украинцы, в России продается через Aflex Distribution.

Есть конечно. Даже бородатые - ну когда-то был, потом перестал носить :-) Хобби - я люблю свою работу :-D Внезапно, да? И еще компьютерные игры.
Часто ли уходят из админов в программеры или наоборот? Ну, бывает... Хороший админ должен быть немного программером, а хороший программер знать, в каком окружении будет работать его программа, чтобы не ваять сферических коней в вакууме...

Можете. И кто угодно другой может. Дайте мне Вашу почту - я Вам пришлю письмо от имени bill.gates@microsoft.com. Вы думаете SPF, DKIM и прочие умности придумали от безделья? Оттого, что несчастный RFC822 когда писался - то вовсе не думали, что люди догадаются рассылать таким образом рекламу. Да, в заголовке From: можно написать все что угодно - принимающий сервер может проверить этот адрес, а может и не проверить. Те, кто знает что у письма есть заголовок, конечно разом разгадают, но есть зиллионы людей, которые все еще верят, что если письмо от bill.gates@microsoft.com - то его на самом деле написал Билли...

Насчет easyrsa ничего не скажу, но сертификат УЦ должен иметь специальный признак того, что это сертификат УЦ. Желание создать УЦ, потом выпустить суб-УЦ и уже от его имени выдавать сертификаты в винде в принципе имеет место быть. Когда в сети есть винда и не-винда, есть например микротики, d-link-и еще какие-то устройства... Пользователям опять же проще генерить сертификаты на openssl. Но это если понимать что делать - там не нужна будет никакая easyrsa.
Если же нужна просто служба сертификатов для винды - то не занимайтесь вытягиванием себя из болота за волосы - запускайте службу и пусть она сама сгенерит корневой сертификат УЦ. Правда, сразу нужно учесть, что без дополнительного шаблона PKCS#12 для пользователя никак не свернуть - можно получить только сертификат заполненный данными на основе AD и только на одном компе.
Для выпуска же сертификата УЦ средствами openssl в openssl.cnf должна быть секция

[ v3_ca ]
basicConstraints = CA:true

и при выпуске сертификата с указанием этой секции в качестве расширения он становится сертификатом УЦ.