分散式企业应如何使用 Active Directory？

不知怎的，我被任命为我家小企业的系统管理员。虽然管理这项工作应该很容易，但我不知道最好的方法是什么。

上述业务的一个独特之处在于它非常分散——有 30 个地点，每个地点只有一台计算机。还有 5-10 名员工经常在不同地点之间移动，每个员工和每个分支机构都有一台公司提供的运行 Windows 10 Professional 的笔记本电脑。

虽然我可以（并且已经）手动将组策略应用到每台计算机并手动安装程序，但在对 40 台计算机执行此操作并在这些相距甚远的分支机构之间行驶数百英里之后，这很累人。理想情况下，该公司应该有集中式 Windows 身份验证、分支机构之间的漫游用户配置文件和文件夹重定向、集中式组策略以及特定用户之间共享的网络驱动器。

我认为在正常环境中实现此目的的最佳方法是在每个分支机构中安装一个 Active Directory 域控制器，并使用它来集中管理这些方面并提供文件共享。但是，对于小型企业来说，在经常变化的位置拥有这么多专用服务器是不经济的。事实上，这是不可能的 - 公司没有固定的总部，理论上我可以从那里运行这样的服务器。

看来我唯一的解决方案就是云计算……我的第一个想法是在云中建立一个 AD DC（对我来说听起来很愚蠢），然后让客户端使用 VPN 连接到它（由于 IP 问题，DirectAccess 在云中不起作用）。然后他们像往常一样加入域，一切都得到执行。

我访问了 Google Cloud Platform（我最熟悉它，Azure 也差不多），配置了一个 Windows 服务器，把它变成了 AD DC，安装了 OpenVPN 服务器，配置了路由，制作了一些证书，把它们安装在一台笔记本电脑上，成功加入了域，一切似乎都正常（除了组策略只应用了一半，但我稍后会弄清楚）。

电子邮件也是运营不可或缺的一部分。每天的停机时间都会造成约 10,000 英镑（13,000 美元）的收入损失，而且这个数字每年都会翻一番。我的前任没有进行容量规划，所以一切都很匆忙地拼凑起来。这将需要针对 AD DS 进行身份验证，因为员工和管理层希望使用单点登录。除非我使用第三方电子邮件服务，否则我无法在云中发送电子邮件，但我们需要保持 100% 的传递率，并且我们目前正在维护自己的 IP 声誉。目前没有电子邮件 SSO，电子邮件在单独的 Linux 服务器上运行，由单独的 VPS 提供商提供（显然不易扩展）。

此外，在高延迟连接上进行 SMB 共享也存在问题。虽然在我使用它时这不是问题，但我知道这可能会造成问题。

所以，我这样做对吗？这是对 Active Directory 的适当使用吗？我们是否应该将所有内容移至托管的群件产品和 Webmail，而不再为此烦恼？如果是这样，那么管理层同意我的计划的可能性就会大大降低。

编辑：我们正在管理自己的电子邮件，因为我们的地址比机器多得多（很多兼职员工），所以我们无法承担每个用户的费用。