TOParh

Вопрос вам очень надо управлять клиентским компами? Если ответ нет, то смотрите в сторону терминального сервера - пусть пользователи работают в системе удаленного рабочего стола. Вам же легче будет управлять и важные данные они пусть хранят тоже на серваке - но такой подход потребует более сильных материальных вложений на лицензии чем в вашем плане.

Я бы к решению этого вопроса зашёл с другой стороны, более долгий путь.
1) Начал бы перевод компов на линукс с подключением к существующему AD у фокус-группы (20-30 штук)
2) Потом бы поднял FreeIPA и связал его с контроллером домена. Посмотрел как будут себя вести компы в домене и линуксовые и виндовые, а то много всяких косяков может вылезти.
3) Если мелкие проблемы будут решены, продолжил бы постепенный перевод ПК на линукс.
4) И только когда все сервисы и пользователи будут перенесены на линукс системы и будет стабильная работа, только тогда выводим виндовый контроллер домена

Я эту проблему решил следующим путём.
1. Настроил GLPI-инвентаризацию через FusionInventory.
2. Через GPO настроил скрипт по установке агента FusionInventory.
3. Настроил автоматическое сканирование сети через Zenmap (подойдет любой сканер сети.)
Через пару недель когда GLPI-инвентаризация закончилась, сравнил результаты GLPI-инвентаризаций и результаты Zenmap. Разница этих результатов и есть компы с неработающим GPO
А бонусом уже инвентаризированная сеть ;)

В вашем вопросе уже есть ответ.

так как нужны очень очень тонкие настройки доступа пользователей к определённым ресурсам, действиям, и тд (настолько тонкие, что даже два человека за соседними столами, в одном кабинете, не должны иметь возможности выполнять некоторые одинаковые действия).

Кто эти настройки от вас требует ваш начальник или ещё кто-то? Если начальник то вот вам и ответ, если кто-то ещё то возьмите его и обратитесь к начальнику, что этот человек объяснил все эти тонкие настройки начальнику.

Плюсы:
1. Единая точка управления всеми печатающими устройствами. То есть вам не надо будет ставить много раз один и тот же сетевой принтер/МФУ каждому пользователю, можно просто распространить его через GPO.
2. Сам виндовый сервер управления печати не умеет собирать статистику, но есть специализированные программы для этого, и некоторые даже бесплатные и с хорошим функционалом.
Минусы:
1. Если вы не будете делать кластерное решение, то это будет единая точка отказа.

Учёт использования подключенных локально (по USB) принтеров к компьютеру через сервер печати без установленного на ПК пользователей клиентского приложения невозможен.

XPS не рекомендую использовать, лучше родные дрова для каждой модели подбирать. Работать всё будет на порядок быстрее.

В подсистеме печати windows существует функция автоматического failover-a, т.е. при недоступности сервера печати документ отправится напрямую на принтер - да только эту функцию ещё включить надо для каждого устройства.

А по поводу филиалов и общего сервера это извращение, лучше в каждом филиале создать свой сервер управления печатью и них снимать нужную вам инфу.