分散型ビジネスはActiveDirectoryをどのように使用する必要がありますか？

私はどういうわけか私の家族の中小企業のシステム管理者として指名されました。これを管理するのは簡単なはずですが、私はこれを行うための最良の方法が何であるかについて悩んでいます。

前述のビジネスのユニークな側面は、非常に分散化されていることです。30の場所があり、それぞれに1台のコンピューターしかありません。また、場所間を頻繁に移動する5〜10人のスタッフがおり、各スタッフと支店には、Windows 10Professionalを実行する会社提供のラップトップがあります。

グループポリシーを各コンピューターに手動で適用し、プログラムを手動でインストールすることはできましたが（これまでも）、40台のマシンでこれを実行し、これらの離れたブランチ間を数百マイル走行すると、疲れます。理想的には、この会社は、一元化されたWindows認証、ブランチ間の移動ユーザープロファイルとフォルダーリダイレクト、一元化されたグループポリシー、および特定のユーザー間で共有されるネットワークドライブを備えています。

通常の環境でこれを行う最善の方法は、各ブランチにActive Directoryドメインコントローラーを配置し、これを使用して管理のこれらの側面を一元化し、ファイル共有を提供することだと思います。ただし、頻繁に変更される場所に、これほど多くの専用サーバーを設置することは、中小企業にとって経済的ではありません。実際、それは不可能です。この会社には、理論的にはそのようなサーバーを実行できる固定の本社がありません。

私の唯一の解決策はクラウドコンピューティングのようです...私の最初の考えは、AD DCをクラウドに（私にはばかげているように聞こえます）、クライアントがこれに接続するためにVPN（DirectAccessは、IPが原因でクラウドでは機能しません）。その後、通常どおりドメインに参加し、すべてが適用されます。

私はGoogleCloud Platform（私が最もよく知っている、Azureはそれほど違いはありませんでした）に行き、Windowsサーバーをプロビジョニングし、それをAD DCにし、OpenVPNサーバーをインストールし、ルーティングを構成し、いくつかの証明書を作成し、ラップトップにインストールしました、ドメインに正常に参加し、すべてが正常に見えました（グループポリシーが半分しか適用されていないことを除けば、後でわかります）。

電子メールも運用に不可欠です。このための毎日のダウンタイムは約10,000ポンド（13,000ドル）の収益の損失であり、この数字は毎年2倍になります。前任者はキャパシティプランニングを行っていなかったため、すべてがかなり急いでまとめられました。シングルサインオンは従業員と管理者によって期待されているため、これはADDSに対して認証する必要があります。サードパーティの電子メールサービスを使用しない限り、クラウドで電子メールを送信することはできませんが、配信可能性を100％に維持する必要があり、現在、独自のIPレピュテーションを維持しています。現在、電子メールSSOはなく、電子メールは別のVPSプロバイダーを備えた別のLinuxサーバーで実行されています（これは明らかに簡単に拡張できません）。

また、高遅延接続でSMB共有するという問題があります。これを使用しているときは問題ではありませんでしたが、問題が発生する可能性があることは承知しています。

それで、私はこれを正しい方法で行っていますか？これはActive Directoryの適切な使用法ですか？すべてをホストされたグループウェア製品とWebメールに移動し、これをまったく気にしないでください。もしそうなら、それは経営陣が私の計画に同意する可能性を大幅に減らします。

編集：私たちはマシン（パートタイムの従業員がたくさん）よりもはるかに多くのアドレスを持っているため、私たち自身の電子メールを管理しているので、ユーザーごとに支払う余裕はありません。