En mi caso Implementaria las dos opciones simultaneamente...asi hiciera mi red mas robusta y segura con muchos mas niveles de seguridad e implementacion de bloqueos y perfiles de acuerdo al grupo de usuarios que tenga en la arquitectura de la RED
Solo hay que saber configurarlo de manera eficaz y eficiente
OJO esto no significa que esta red sea impenetrable pero no seria tan vulnerable pues habria niveles de seguridad por capaz, protocolos y servicios!!!

PDT: Todo esto es obra de mi mente macabra y perversa jajaja!!! Tambien me hubiera librado de muchos dolores de cabeza si ese server fuera Windows Server y si sus clientes estuvieran dentro de un AD jejeje un par de GPO`s ubieran solucionado todo!!!



saludos...