20ivs

это будет второй КД в этом домене? если да, то он должен быть в той же подсети.
если нет и второй это основной КД отдельного домена, то какой-то из доменов должен быть дочерним. и в любом случае нужно создать отдельные подсети для сайтов. если первый домен в подсети 192.168.0.0/24 сайта default first site, то второй в подстети 192.168.1.0/24 сайта хххххххх.
другой вариант - если вам надо просто подружить два разных домена с разными лесами друг с другом. это уже федерация.

1. на первый пункт отвечать не вижу смысла, уж простите. второй покрывает всё.
2. вообще не понятна суть проблемы. так работает огромное кол-во людей.
ноуты введены в домен? если да, то это означает, что вы уже логинились и учетка кеширована, что даст вам право залогиниться еще N раз. и ничего дополнительно делать не надо даже. после логина подключились к доменной сети, работаем. при этом еще и кеш обновился. единственное условие - хоть раз залогиниться перед поездкой в поля. хотя и это можно решить.

непонятно, какая связь между паролем пользователя и вашим доменным администратором и первым входом пользователя.

требует сменить пароль пользователя перед первым входом в систему.

это потому, что при создании пользователя была отмечена галка "требовать смены пароля при следующем входе в систему" и это правильно. используете какой-нибудь стандартный для всех пароль при создании, и при первом логине человек его вводит. сразу же ему предлагается сменить пароль. меняет и всё. никак тут не задействован ваш администратор и действий от него не требуется никаких после создании учетки в AD. и локальный администратор не задействован. про него вообще забудьте до определенного момента.

непонятна цель данных махинаций, но в общем это реализуемо

1-вид пользователи без пароля.

это любой отключенный пользователь. переносите такого пользователя в отдельный OU и политиками навешиваете что вам угодно. например, доступ куда-то.

2-вид пользователи, у которых пароль соответствует требованиям сложности пароля.

это любой активный пользователь. по-умолчанию политика разрешает 8-значный пароль с обязательной заглавной и цифрой и обязательной сменой каждые 40 (или 42?) дней. политику можно изменить по вашему усмотрению.
в последних версиях MS решили отказаться от обязательной смены пароля в виду нецелесообразности.

Get-ADUser -Filter * SearchBase 'OU=Отдел, OU=Управление, OU=Департамент,
OU=Пользователи, OU=ИА, OU=Компания, OU=Регион, DC=test, DC=local'

потому что скорее всего напутали с последовательностью.
OU=Пользователи, OU=Отдел, OU=Управление, OU=Департамент, OU=ИА, OU=Компания, OU=Регион, DC=test, DC=local
для понимания зайдите в AD, в свойствах контейнера в редакторе атрибутов посмотрите distinguishedName.
и без пробелов это все пишется.

разворачиваете Центр Сертификации на сервере с виндой и выдаете любые доменные сертификаты.

install-the-certification-authority
Установка центра сертификации на предприятии. Част...