Moim zdaniem warto, zwłaszcza przy tylu komputerach.
Bezpieczeństwo
System Microsoftu jest stworzony do pracy z domenami. AD wdrożona zgodnie z zasadami jedynie podnosi bezpieczeństwo sieci, ponieważ użytkownika zakłada uprawniony admin grupy na serwerze, co blokuje możliwość różnych kombinacji.
Możliwość logowania do różnych fizycznych komputerów
Mając identyczne komputery i monitory możesz robić grupy OU i pozwalać na logowanie się różnym osobom do różnych fizycznych komputerów w obrębie OU. Gdy ktoś kogoś zastępuje, zmienia stanowisko to bez żadnych kombinacji loguje się na swoje konto i ma swój pulpit, swoje "Moje Dokumenty", konfigurację poczty i innych aplikacji, które korzystają z profilu użytkownika.
Oczywiście jest pełna kontrola kto na którym komputerze może się logować.
Codzienna automatyczna kopia zapasowa dokumentów i ustawień
Ustawiając profile zdalne profil jest synchronizowany z serwerem, wykonuje się wierna kopia profilu użytkownika. W przypadku awarii komputera mówisz, proszę się wylogować i zalogować do tego komputera obok i user ma absolutnie wszystko tak samo jak u siebie (tzn. cały profil użytkownika). Jedynie w ustawieniach trzeba danemu użytkownikowi przypisać nowy komputer.
Centralne zarządzanie
Centralne zarządzanie nie musi być z jednego komputera. Logujesz się do domeny jako admin z dowolnej końcówki i możesz ustawiać wszystko tak jak na serwerze. Pakiet nazywa się RSAT Remote Server Administration Tool.
Nadawanie praw:
Zakładasz OU (jednostki organizacyjne np. pokoje, jakieś grupy pracowników) i przypisujesz użytkowników i komputery do tych grup. Wiele operacji możesz potem zrobić na poziome OU a nie całej sieci. Np. przy logowaniu wymusić zainstalowanie nowej wersji jakiegoś programu używając Instalatora Microsoftu msi w trybie cichym tylko dla tej grupy.
Udziały sieciowe na szywno dla użytkowników.
Przydzielasz grupie użytkowników jakie mają mieć litery dysków i za chwilę je mają nawet bez przelogowania. Co 10 minut na wszystkich komputerach aktualizuje się polityka grup a jak chcesz natychmiast żeby mieli to trzeba napisać GPUpdate.exe /force i już działa.
Instalowanie programów:
Piszesz skrypt instalujący lub aktualizujący program odpalający msi w trybie cichym. wymuszasz uruchomienie skryptu przy najbliższym uruchomieniu komputera. Programy same się przeinstalują gdy pracownicy przyjdą do pracy i włączą komputery
Zarządzanie
wiadomo, z dowolnego miejsca można zmienić każdemu hasło, prawa, dodać go do jakiejś grupy . Co kto może definujesz na poziomie tych OU - każda grupa może mieć dostęp do innych aplikacji, udziałów sieciowych, itd.
Nie wszystkiego z tego trzeba używać, ale i tak bezwzględnie ułatwia pracę adminowi. W ogóle nie ma porównania.
Wady:
1. Wszystkie komputery muszą mieć bezwzględnie wersję Windows Pro.
2. Jak chcemy profile zdalne (roaming profiles) to sprzęt, monitory cała grupa co mogą przeskakiwać z komputera na komputer musi mieć identyczne, inaczej cyrki wychodzą.
3. Trzeba mieć przy tylu userach dwa serwery DC (kontrolery domeny), licencje na serwery + CAL
4. Czasem ludzie się burzą, że chcą komputery bez logowania do domeny, jak jest praca zdalna i ktoś bardzo długo się nie loguje do domeny to nawet licencja Windowsa wygasa

pandemia to wykazała

Teraz już temat zniknął. Trzeba zorganizować logowanie do domeny przez VPN i jest ok.
Dopisuję jeszcze piątą wadę - musi być dobra sieć, w miarę szybka ale też dająca się konfigurować. Serwer domeny powinien być serwerem DHCP i DNS dla WSZYSTKICH komputerów w domenie. Sieć może być podzielona na segmenty z różnymi adresacjami, ale routery muszą przepuszczać DHCP, DNS, trochę zabawy jest żeby to dobrze działało.
Większość ludzi tak naprawdę nie chce prawdy. Pragną jedynie ciągłego upewniania się, że to, w co wierzą, jest prawdą. Madaleine Albright