CityCat4

1. Никак. startx - метод тестового запуска Х, который используют при тестировании, проверках, сбоях DM. Для регулярной работы он уже лет ... эээ... пятнадцать как не используется.
2. При запуске Х через startx выполняется скрипт .xinitrc в домашке, соответственно будут выполнены все команды, которые в нем. Например:

xautolock -time 15 -locker "xlock -mode dclock -messagefont 12x24bold -planfont 12x24 -font 12x24 -fg white -bg -black -time24" &
gnome-terminal --geometry $XGEOM+923+116 --title "X terminal" --hide-menubar &
gnome-terminal --geometry $XGEOM+185+49 --title "Root terminal" --hide-menubar -e "sudo tcsh" &
xhost +
exec starttde

Нет.

Нормально будут работать только простые программы типа winbox (морда управления микротиками). Еще у меня запускалась самсунговская морда для управления АТС, Revo Uninstaller, небольшое количество игрух. Wine - вымирающий проект, его необходимость была тогда, когда не хватало ресурсов на виртуализацию, ну либо нужно запустить одну-единственную программу под винду, но не хочется покупать винду. Сейчас проще KVM-виртуалку сбацать. Для ворда-екселя-браузера достаточно будет Spice, для игрух можно попробовать поставить в комп вторую видюху и пробросить в винду (сам еще не пробовал, но уже в процессе)

Что там говорить, когда у меня даже FF в вайне не взлетел. Вернее, взлететь-то взлетел, но Flash в нем так и не пошел (а нужен был исключительно ради Flash)

Память, видеокарта, кривые дрова. Особенно, если видюха интегрированная - с подобным сталкивался. Возможно от малого количества памяти или от умирающего диска, когда система уходит в своп, а диску плохо.

Логи смотрите.

Вариант 1 используют очень храбрые, очень ...неумные либо фанаты Microsoft, непоколебимо верящие в силу файрволла от MS. Если это про Вас - Ваш выбор.
Вариант 2 используют те, кто любит постоянно лечить компы юзеров от майнеров и жаловаться на то, что почту блокируют за спам. Ну, либо тот, кому совсем уж нечего скрывать :) Если это про Вас - Ваш выбор.
Вариант 3 уже больше похож на типовую схему построения.

DHCP не стоит держать на роутере. Роутер должен делать то, для чего предназначен - роутить. Ну еще файрволл и VPN, по необходимости. DHCP относится к базовым ролям внутренней сети и держать его IMHO нужно на сервере AD - нагрузка копеечная, зато если вовремя заполнять данные оснастки - можно использовать ее в качестве таблицы распределения IP - не весь же сегмент у Вас динамика, сервера как правило имеют статические адреса.

Эксч категорически рекомендуется отделить от AD. Прокси, если есть - тоже отделить. При нынешних технологиях виртуализации это сделать куда как просто. Файлопомойку - тоже отделить.

Могу привести реально действующий, но немного изуродованный sssd.conf

[sssd]
config_file_version = 2
domains = domain.int
services = nss

[nss]
filter_users = root
shell_fallback = /sbin/nologin
fallback_homedir = /usr/share/smbusers/%u
default_shell = /bin/sh

[domain/domain.int]
id_provider = ldap
auth_provider = ad
access_provider = ldap
selinux_provider = none

ldap_referrals = false

ldap_uri = ldap://dc1.domain.int/
ldap_backup_uri = ldap://dc3.domain.int/

ad_server = dc1.domain.int
ad_backup_server = dc3.domain.int

ldap_sasl_mech = GSSAPI

ldap_id_mapping = true
ldap_schema = ad
ldap_idmap_default_domain_sid = S-1-5-21-xxx... (много-цифр)
lookup_family_order = ipv4_only
case_sensitive = false

ldap_user_search_base = dc=domain,dc=int
ldap_group_search_base = dc=domain,dc=int

ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true

krb5_realm = DOMAIN.INT
krb5_canonicalize = false

ldap_user_object_class = user
ldap_user_name = sAMAccountName
ldap_user_gecos = displayName
ldap_user_principal = userPrincipalName
ldap_user_modify_timestamp = whenChanged
ldap_user_shadow_last_change = pwdLastSet
ldap_user_shadow_expire = accountExpires

ldap_group_object_class = group
ldap_group_name = cn

man sssd.conf, man sssd-ldap, man sssd-ad