Предвидятся явные проблемы при отсутствии Интернета в филиалах. Как авторизоваться если контроллера не видно? Как долго будут отвечать локальные ресурсы, если загружен канал?
Если впн присутствует, я бы, построил лес с физическими или виртуальными подчиненными контроллерами. Просто доверенные транзитивные отношения не предусматривают наследования групповых политик.
