Если человек возит ноут с собой, и вам нужна только авторизация на нем под УЗ домена - то вообще не парьтесь. Винда кэширует креды последних (точно не помню, вроде 10-ти) пользователей, залогинившихся в системе. Т.е. юзеру нужно хотя бы 1 раз залогинится на бук, подключенный к сети, имеющей доступ к КД, и дальше он будет спокойно под тем же юзером работать офлайн (относительно домена). Есть нюанс - срок действия пароля. Если затем сотрудник/бук долго не будут авторизовываться в сети с доступом к КД (2 срока пароля в домене), то бук вылетит из домена - нужно будет переввести в домен, а сотруднику нужно будет ресетить пароль (должно при логине сразу предложить юзеру, по дефолту) при подключении к сети с доступом к КД.
*ВПН нужен уже для доступа к ресурсам сети.
**Про SSO вы не дочитали, но вряд ли вам это нужно на текущем этапе.
