Okay, így már tiszta.
Szerintem ha sambára állsz át, akkor annyit változna a helyzet, hogy VPN-el indítana az otthoni user (a pptp-t az újabb linux disztribek minden cafrang nélkül kezelik, windows kompatibilis módon), és szigorúan workstationból indítanák.
Amikor létrejött a kapcsolat, akkor mountolnák a hálózati meghajtót, vagyis az user távoli elérés esetében: helyi bejelentkezés -> VPN kapcsolat indítása -> hálózati meghajtók csatlakoztatása.
Távoli elérés esetén szerintem ellenjavallt a domain, mert pl. mi van olyankor, ha például az user egy DVD image-t töltött le az asztalára? Kijelentkezéskor fel akarja tölteni a domain kontrollenek, bejelentkezéskor meg letöltené. Mindezt mondjuk egy otthoni 256KB-os feltöltési sávszéllel.
Ötlet: linux PPTP VPN, ezt akár a tűzfal is kezelhetné. Innen kezdve a távoli user a helyi háló része ugye, minden cafrang nélkül eléri a sambát.
A samba ugyan nem tartományvezérlő, ezért login script sem fut le a bejelentkezésnél, de ha az usereknek csinálsz egy olyan batch file-t, ami először a VPN-t indítja, majd felcsatlakoztatja a hálózati meghajtókat, akkor kezelhető a dolog.
kiteszed az asztalukra nekik és azt indikják, tehát nem sima VPN kapcsolatot.
A kapcsolat bontásánál kapnának hibaüzenetet az userek, mikor is nem érik el a hálózatról csatolt meghajtót, de ez szerintem nem olyan nagy vész. Azzal együtt lehet élni.