CityCat4

и как их в этом максимально ограничить сохранив при этом удобство входа по логину/паролю?

Написать правило, которое ограничивает вход с определенных IP

Ну тогда сразу вопрос - а откуда телефон может взять сертификат автоматом? И принтер?

Окей, гугл
Dameware

(Cпойлер - отличная вещь. Лицензируется по рабочим местам саппорта)

Можно. Есть webmin и похожее на него. Но это все костыли. Сервер можно и нужно настраивать только текстовыми конифгами - потому что все в итоге сводится к ним (если это не винда, конечно, но винда на VPS стоит денег)

Конечно. Виртуалка вот ничем от bare-metal в этом отношении не отличается. Команда proxmox кстати расширит диск с точки зрения гипера, а с точки зрения ВМ - она увидит приросшее место, но что с ним делать-то?. То же самое можно сделать в vmware через ее морды управления - и что?
Если LVM нет - нужно будет создавать новый раздел (которых всего 4), форматировать его, городить линки, чтобы его примонтировать, переносить содержимое (для чего вполне может оказаться нужно перейти в single user). Если LVM есть - несколько команд - и раздел расширен.

Ну, формат мыла не является стандартом, например у нас сейчас - SidorovPV@nichego.net, хотя я работал в конторах, где было p.sidorov@nichego.net, sidorov-pv@nichego.net.
Приходит новый сотрудник, если ему нужна почта предыдущего - его начальник говорит - надо, тогда ему переносится почта из ящика предыдущего сотрудника. Уволенным учетки блокируются, ящики пакуются и выгружаются в архив, если надо - ставится перенаправление.
Для защиты от спама (а спамеры умудряются помнить людей, работавших у нас двадцать лет назад) почта на уволенных блокируется через milter-greylist (для тех, кому перенаправление не нужно). Если она все-таки попала на почтовик - там есть местное перенаправление - на "свалку", которая временами просто удаляется.

но не знаю какими знаниями должен обладать системный администратор.

Крылья...ноги... Главное - моск! :)

Cамым первым и крайне важным в работе умением админа является умение самостоятельно сформулировать запрос к поисковику, найти ответ и правильно использовать его. Тема "как стать админом" на тостере по популярности соперничает с темой "как быстро и много заработать веб-программисту".

На админа не учатся - им становятся. Невозможно "выучиться" на командира полка - надо сначала окончить военное училище, получить лейтенантское звание, и постепенно, приобретая опыт дослужиться до полковника.

Начинают все как правило с эникея - этакого "подай-принеси-уйди-не-мешай" в ИТ-отделе. Работа эникеем научит обжимать патчкорды, менять картриджи в принтерах и общаться с пользователями в специфических отделах (бухгалтерия, продажи, закупки - во многих местах эти коллективы укомплектованы сплошь представительницами лучшего пола - с соответствующим уровнем интеллекта). А также научит решать еще сто тыщ мильенов проблем, возникающих у юзера.
Шаг вверх обычно делается тогда, когда считаешь, что готов уйти. Ну, еще может так сложиться, что на текущем месте что-то происходит с админом (самая экзотическая причина, известная мне - админ ушел в двухнедельный запой, по выходу из которого был немедленно уволен) - и тебя продвигают вверх.
Экзамены особо не нужны - могут взять и без них, бывает что даже и без опыта (или с минимальным опытом) берут. Хотя базовые курсы Циски или M$ конечно пройти будет не лишним.
Настольной книгой любого админа являются Олиферы :) Да, это намек :)

Включить логи на бубунте и посмотреть, приходит ли соединение, проходит ли хотя бы первая фаза. Еще протокол ESP пробросить. Ну и разумеется NAT-T разрешить в настройках - понадобится.

Могут ли админы тонких клиентов настроить создание скриншотов с заданным интервалом и складирования их у себя?

Мне достоверно не известно, но в таких случаях лучше принимать более худшее решение, потому что если они не могут, а Вы думаете, что могут - ничего страшного не произойдет, а вот если наоборот - могут быть проблемы. У Вас :)

Если человека эникейщиком взяли, это наверное предпологает, что через несколько лет труда и учебы, он станет уже начинающим сис. админом

Работодатель никогда ничего не предполагает - он закрывает вакансию, по которой здесь и сейчас ему нужен эникей. Рекомендую проработать хотя бы год, особенно если зряплата устраивает. За год - я никогда не поверю, что не возникнет никакой ситуации, где можно было бы проявить себя.

(например. Однажды в одном из наших филиалов сдох сервер. Дело было много лет назад, вирутализации еще не было от слова нифига. Пришлось мне и местному админу переустанавливать FreeBSD, при этом я был "головой" Вольтрона, а местный админ - "руками" :) )

DameWare

В крупных сетях не смотрят на платность. В крупных сетях смотрят на эффективность. И DameWare в этом отношении кстати весьма эфеективен. И лицензируется он не по клиентам, а по рабочим местам саппорта. То есть, сколько у вас саппортеров - столько и нужно лицензий.

Ой, ну тут уж не понимать... Тут и цвета все расписаны и номера проводов проставлены. Забивайте так, как нарисовано, а с другой стороны обжимаете корд по выбранной схеме. Я обычно использую B - но не почему-то, а просто так как-то сложилось.
Для забивки лучше всего использовать специальный забивочный нож (можно посмотреть например вот тут). Можно и отверткой, но есть риск повредить панель, особенно с непривычки.

Божечки, домен... 5-го уровня? Не хватает фантазии...

hole.teeth.head.crocodil.ru?

Нет.

Потому что ни то, ни другое - это вообще не про админство. Девопсами нынче зовут опять всех кому ни лень - это просто модное слово.
1С программинг - это даже и не совсем программинг. Это такой атомный гибрид программинга и бухгалтерии, программинга и складского учета, программинга и еще черт-знает-чего, что 1С-программисты - это вообще отдельный народ.
Обычная линия развития админа - она как линия развития юнита в игре - в ней развилки есть :) Админишь мелкую контору - и отвечаешь за все, вплоть до чайников (электрических). Админишь более крупную - начинается специализация - винда, линух, сети, безопасность. Выбираешь специализацию - и начинаешь админить еще более крупную - и дальше опять либо в специалисты (ветка в сторону главного специалиста - это как раз девопс), либо в руководители (ветка в сторону начальника отдела ИТ/ИБ, потом CIO/CISO)

Remmina я и в линухе не люблю. В линухе - менюшка с XTerm для ssh и xfreerdp для винды, в винде - XShell для ssh и RDP для винды.
И не нужно усложнять там, где усложнять не нужно.
SecureCRT был замечательный проект, но сдох давно
Самый лучший ssh клиент для винды - это AbsoluteTelnet

Без знания того, зачем нужно данное обоснование невозможно ничего предложить. Потому что это вещь штучная и пишется под каждую ситуацию отдельно. Любое достоинство можно вывернуть, как недостаток. Любой недостаток можно представить, как достоинство.

Ввел компьютер с убунту, в windows домен

Каким образом? Самба, pam_ldap, sssd? Все известные мне способы не требуют при логине указывать доменный хвост, система просто переключается на разные источники при поиске юзера.

Например:
# id testonlytt
uid=233819(testonlytt) gid=200513(domain users) groups=200513(domain users),235126(accessextended),201164(vpn users),235697(newproxy)

# getent passwd testonlytt
testonlytt:*:233819:200513:Просто Тест Тестович:/usr/share/smbusers/testonlytt:/bin/sh

testonlytt - доменный юзер, из AD