Как децентрализованному бизнесу следует использовать Active Directory?

Каким-то образом меня назначили системным администратором малого бизнеса моей семьи. Хотя администрировать это должно быть легко, я не знаю, как лучше всего это сделать.

Уникальным аспектом вышеупомянутого бизнеса является то, что он очень децентрализован - есть 30 офисов, в каждом из которых есть только один компьютер. Также есть 5-10 сотрудников, которые часто перемещаются между офисами, и у каждого сотрудника и каждого филиала есть предоставленный компанией ноутбук с Windows 10 Professional.

Хотя я мог (и был) вручную применять групповую политику к каждому компьютеру и вручную устанавливать программы, это утомительно после того, как я проделал это с 40 машинами и проехал сотни миль между этими разнесенными ветвями. В идеале эта компания должна иметь централизованную проверку подлинности Windows, перемещаемые профили пользователей и перенаправление папок между филиалами, централизованную групповую политику и сетевые диски, совместно используемые определенными пользователями.

Я предполагаю, что лучший способ сделать это в обычной среде - иметь контроллер домена Active Directory в каждой ветке и использовать его для централизации этих аспектов администрирования и предоставления общих файловых ресурсов. Однако для малого бизнеса неэкономично иметь так много выделенных серверов в местах, которые часто меняются. На самом деле это невозможно - у компании нет фиксированной штаб-квартиры, из которой я теоретически мог бы запустить такой сервер.

Похоже, мое единственное решение - облачные вычисления ... Моя первая мысль заключалась в том, чтобы иметь AD DC в облаке (звучит глупо для меня), и чтобы клиенты могли подключаться к нему с помощью VPN (DirectAccess не работает в облако из-за IP-материала). Затем они присоединяются к домену как обычно, и все вступает в силу.

Я перешел на облачную платформу Google (с которой я наиболее знаком, Azure не сильно отличался), подготовил сервер Windows, сделал его AD DC, установил сервер OpenVPN, настроил маршрутизацию, сделал несколько сертификатов, установил их на ноутбуке. , успешно присоединился к домену, и все выглядело хорошо (кроме групповой политики применялась только наполовину, но я выясню это позже).

Электронная почта также является неотъемлемой частью операций. Каждый день простоя из-за этого составляет около 10 000 фунтов стерлингов (13 000 долларов США), и эта цифра ежегодно увеличивается вдвое. Мой предшественник не планировал мощности, так что все сложилось довольно поспешно. Для этого потребуется аутентификация в AD DS, поскольку сотрудники и руководство ожидают единого входа. Я не могу отправлять электронную почту в облаке, если я не использую стороннюю службу электронной почты, но нам нужно поддерживать доставляемость на уровне 100%, и мы поддерживаем нашу собственную репутацию IP на данный момент. В настоящее время нет единого входа для электронной почты, а электронная почта работает на отдельном сервере Linux с отдельным поставщиком VPS (который, очевидно, нелегко масштабировать).

Кроме того, существует проблема наличия общих ресурсов SMB через соединение с высокой задержкой. Хотя это не было проблемой, когда я его использовал, я знаю, что это может создать проблему.

Так, правильно ли я поступаю? Это уместное использование Active Directory? Должны ли мы переместить все на размещенный продукт для групповой работы и веб-почту и не беспокоиться об этом вообще? Если так, то это значительно снижает вероятность того, что руководство согласится с моими планами.

РЕДАКТИРОВАТЬ: Мы управляем собственной электронной почтой, потому что у нас намного больше адресов, чем машин (много сотрудников, работающих неполный рабочий день), поэтому мы не можем позволить себе платить за каждого пользователя.