问分散的企业应该如何使用Active Directory？

EN

不知何故，我被提名为家族小企业的系统管理员。虽然管理这个应该很容易，但我对做这件事的最佳方式感到困惑。

上述业务的一个独特之处在于它非常分散--有30个地点，每个地方只有一台电脑。也有5-10名工作人员经常在不同地点之间流动，每个工作人员和分支机构都有一台公司提供的笔记本电脑，运行Windows 10 Professional。

虽然我可以(而且一直)手动将组策略应用于每台计算机，并手动安装程序，但在对40台机器执行此操作并在这些广开的分支之间行驶数百英里之后，它就会感到疲劳。理想情况下，该公司将集中Windows身份验证、漫游用户配置文件和在分支之间重定向文件夹、集中化组策略和某些用户之间共享的网络驱动器。

我认为在正常环境中这样做的最佳方法是在每个分支中都有一个Active域控制器，并使用它来集中管理的这些方面，并提供文件共享。然而，对于一个小企业来说，在频繁变化的地方拥有这么多专用服务器是不经济的。事实上，这是不可能的-公司没有固定的总部，我理论上可以运行这样的服务器。

看来我唯一的解决方案就是云计算..。我的第一个想法是在云中有一个AD (对我来说听起来很愚蠢)，并且客户端可以使用虚拟专用网连接到它(由于IP的原因，DirectAccess在云中不工作)。然后，他们像往常一样加入域，所有的东西都会被强制执行。

我去了Google平台(我最熟悉的是Azure并没有什么不同)，提供了一个Windows，使它成为一个AD DC，安装了OpenVPN服务器，配置了路由，制作了一些证书，安装在笔记本电脑上，成功地加入了域，一切似乎都还好(除了组策略只应用了一半，但我稍后会发现)。

电子邮件也是操作的一部分。每天停工的时间大约是10,000£(13,000美元)，这一数字每年翻一番。我的前任没有做任何容量规划，所以一切都是仓促进行的。这将需要对AD DS进行身份验证，因为员工和管理层都希望单点登录。除非我使用第三方的电子邮件服务，否则我无法在云中进行电子邮件，但我们需要保持100%的可交付性，并且我们目前正在维护自己的IP声誉。目前还没有电子邮件SSO，而且电子邮件正在一个单独的Linux服务器上运行，它有一个单独的VPS提供程序(这显然不容易扩展)。

此外，在高延迟连接上拥有SMB共享也存在问题.虽然这不是我使用它时的问题，但我知道这可能会引起问题。

所以，我这样做对吗？这是Active的适当使用吗？我们应该把所有的东西都转移到一个托管的群件产品和网络邮件中吗？如果是这样的话，这将大大降低管理层同意我的计划的可能性。

编辑:我们管理自己的电子邮件，因为我们的地址比机器(很多兼职员工)多得多，所以我们无法支付每个用户的费用。