Поднимите в каждом офисе свой AD, для соединения между офисами заюзайте VPN. Узлы AD можно "подружить", т.е. сделать доверенными.
В реальности периодически и крайне неожиданно случаются сбои у поставщиков инета.
Размещая сервер AD вне офисной сети вам придется готовиться к тому, что при пропадании инета работа в офисе встанет. Так как пропадет доступ ко многим сервисам.
