域控制器--服务器放在Internet

可以实现，但是实现的过程比较复杂。最好在你们外地公司和你们公司总部之间建立一条永久的IPSec 连接，这样你们外地公司的客户端登录会比较安全。因为域用户登录是通过DNS定位的，把外地客户端的DNS指向远程的域控制器IP（内网地址），可以经过通道快速的定位。如果没有，那需要在你们公司总部把登录域需要的端口都映射到网关设备上去，然后把外地客户端的DNS指向公司总部网关设备IP（外网地址）就可以了，这要的方式成本最低，但是安全性不高。

这个问题。
解释一下，默认情况下加域的电脑会自动将domain admin组加入到本地的administrators组之中，因此AD管理员是可以以管理员身份登录任何加域电脑的。domain admin和你说的Builtin---administrators都是是有登录到DC的权限的（实际上不止，权限非常大）
所以把普通用户（domain users组）添加到这个组是非常不合适的
我们的做法是手动把用户（不是用户组）添加到本地的administrators组（这个是可以写脚本的，网上搜下很多）

域就像中央集权，由一台或数台域控制器（DomainController）管理域内的其他计算机（所以域可以理解为在一个安全边界内的资源，包括计算机、用户等的合集）；工作组就像各自为政，组内每一台计算机自己管理自己，他人无法干涉。

域是一个计算机群体的组合，是一个相对严格的组织，而域控制器则是这个域内的管理核心（负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样）。

如果说工作组是“免费的旅店”，那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。

首先你的主要DNS服务器必须能解释内网域，如：xxxcom，具体在网上邻居右键-属性-本地连接-TCP/IP那项双击修改，一般主要DNS是指向域控IP或网内能解释域DNS服务器，然后在我的电脑右键-属性-计算机名-更改，里面可以选择加入域，然后需要输入域管理员的账号密码，成功以后就可以加入域了。你的第二个问题，不登录域仍然是可以受域的管理的，例如你在域策略设置了禁止显示运行，然后你客户端不登录域，而是登录本机管理员，这样你虽然有本机的管理员权限，但在域策略上已经指派了的策略，你在自己本机的组策略是改不了的，只是你在本机的权限比域用户多一点，但仍然受限，希望我的回答对你有帮助。

---