20ivs

это будет второй КД в этом домене? если да, то он должен быть в той же подсети.
если нет и второй это основной КД отдельного домена, то какой-то из доменов должен быть дочерним. и в любом случае нужно создать отдельные подсети для сайтов. если первый домен в подсети 192.168.0.0/24 сайта default first site, то второй в подстети 192.168.1.0/24 сайта хххххххх.
другой вариант - если вам надо просто подружить два разных домена с разными лесами друг с другом. это уже федерация.

непонятно, какая связь между паролем пользователя и вашим доменным администратором и первым входом пользователя.

требует сменить пароль пользователя перед первым входом в систему.

это потому, что при создании пользователя была отмечена галка "требовать смены пароля при следующем входе в систему" и это правильно. используете какой-нибудь стандартный для всех пароль при создании, и при первом логине человек его вводит. сразу же ему предлагается сменить пароль. меняет и всё. никак тут не задействован ваш администратор и действий от него не требуется никаких после создании учетки в AD. и локальный администратор не задействован. про него вообще забудьте до определенного момента.

непонятна цель данных махинаций, но в общем это реализуемо

1-вид пользователи без пароля.

это любой отключенный пользователь. переносите такого пользователя в отдельный OU и политиками навешиваете что вам угодно. например, доступ куда-то.

2-вид пользователи, у которых пароль соответствует требованиям сложности пароля.

это любой активный пользователь. по-умолчанию политика разрешает 8-значный пароль с обязательной заглавной и цифрой и обязательной сменой каждые 40 (или 42?) дней. политику можно изменить по вашему усмотрению.
в последних версиях MS решили отказаться от обязательной смены пароля в виду нецелесообразности.

Допустим IP виртуалки 192.168.1.100, внутри нее адрес виртуального интерфейса 25.15.169.76. Клиентам нужно прописать маршрут.
(Win):

route add 25.15.169.76 mask 255.255.255.255 192.168.1.100

(Linux):
route add -host 25.15.169.76 gw 192.168.1.100

Ну и, разумеется, корректно настроить брандмауэр виртуалки.

разворачиваете Центр Сертификации на сервере с виндой и выдаете любые доменные сертификаты.

install-the-certification-authority
Установка центра сертификации на предприятии. Част...

на Микротике L2TP+IPsec сервер, на ноуте из дома\командировки и т.д. стандартный L2TP+IPsec клиент. ничего пробрасывать дополнительно не надо, будете подключаться непосредственно к рабочей сети.
Вот, например.

вот тут подробно описано

можно.

UPGRADE LYNC 2013 TO SKYPE FOR BUSINESS 2015 STEP-...