CityCat4

Нет, нельзя

Если IKE не банится (а там сам Чьерт не разберет сейчас, что где и кем банится), то можно бы и попробовать, если одолеете настройку.

А то первые тестовые юзеры без каких-то прав легко себе в профили левых браузеров понаставили,

Вопрос не технический, а организационный. Во-первых, все это сносится - публично и с громким скандалом. Во-вторых составляется список, с которым идете к директору (хотя это может быть в третьих и вообще отложено - это смотря что за контора и какое у Вас там внутри нее положение). В третьих пишется регламент, который запрещает подобные выкрутасы, с ознакомлением под роспись каждого (Хотя вот это может быть и во-вторых).

Уже двадцать раз было сказано - машина с Vipnet - только для vipnet. Во-первых, потому что при работающем випе вся остальная сеть глохнет нахрен (глушится випом), а во-вторых, конторы, которые используют вип для подключения к себе - способы причинить немало неприятностей, если от тебя к ним что-то проползет.
Поэтому виртуалка с випнетом - только для випнета. А работать с нее - через консоль, которую обеспечивает хостер - по-другому никак.

Если випнет - значит, что-то серьезное, ибо это мерзкий клиент от ребят типа РЖД. Вам точно нужны проблемы такого уровня? Никогда не используйте випнет на рабочих машинах, потому что эта штука отрубает нахрен все, кроме себя, когда работает.

man setfacl
/default

В ACL должна быть запись default, которая применяется тогда, когда создается новый обьект. Если ее нет применяются "базовые" права - владелец и группа.

Обычно NAT и маршрутизацию на винде не делают. Маршрутизацией и защитой от какеров обычно занимается микротик, который ставится по фронту, а контролем доступа - прокси, которое подымается тут же на гипере. Можно на гипере поднять и шлюз, но это чревато падением гипера и необходимостью восстанавливать шлюз.

Можно по фронту поставить линух, который будет и роутером и файрволлом и прокси (и DNS разумеется, и NTP и еще чертом лысым), а на AD настроить форвардинг запросов DNS.

Nakivo Backup & Replication

В РФ купить нельзя. На торрентах может и есть - прога хорошая, но не особо популярная.

Если сервер важный, то он конечно же виртуализован :) Потому что бэкап виртуалки делается десятком способов и ей пофиг на железо совершенно (разве что ключи USB-шные нужно будет перепробросить заново, если есть).
Даже если он там будет один на весь гипер - виртуализация спасает от такого головняка, как несовпадающее железо (хотя переактивацию скорее всего придется делать).
Если сервер не виртуализован - то он не важный :) Ну правда есть еще вариант, когда для важного сервера стоит холодный резерв - точно такой же сервер, на который бэкап переносится в случае необходимости.

Что учесть при поднятии домена на Windows Server?

Тот факт, что M$ уже год как не продает лицензии на свои продукты, а с 30 сентября перестанет продлять существующие контракты.
Коробочные продукты - офис, визио - еще продаются, правда цены злющие как собаки.

Удалять не надо

А установка программ юзеру запрещена?
А запуск портабельных браузеров контролируется?
А что будет, если юзер принесет на флэшке Firefox Portable и запустит его?

Конечно же куча виртуалок. Да еще с разным "железом".

Отдельных таких мониторилок нет - только заббикс, nagios. Но можно на коленке набросать скрипт на VBS

А указывать порт при подключении не забываешь?

Какой антивирь?

Машину отрубить от сети и прогнать через Malwarebytes - я сильно зауважал эту прогу, когда она выловила таракана, перед которым спасовал каспер.

Как обычно.

Организовывается сервер бэкапов с доступом по количеству пальцев одной руки. На все сервера ставится агент программы, которй снимается бэкап. Запускается программа, которая посредством своего агента этот бэкап выполняет - как правило это делается вечером или ночью по расписанию.

Ведутся суточные/недельные/месячные копии etc. Это если более-менее правильно, конечно.

Подскажите в какую сторону копать?

В сторону компромата на провайдера. "Продвинутые" (или просто "двинутые") провайдеры почему-то считают, что могут указывать другим людяи, чем им заниматься на своем подключении (при условии, конечно, что они оборудование не топят).
Дом.сру - это воообще мерзкая хаббардистская контора, в разборках с которой однажды чуть до суда не дошел.

В старом договоре видимо всем было пофиг (если "несколько лет" - скорее всего заключен был в середине-конце 10-х)
В новом договоре начали жопиться и каким-то непонятным пока образом контролировать, что идет по VPN и при достижении каких-то условий - валить соединение.

Можно попробовать написать в саппорт со словами "ребята, я знаю, почему вы так делаете. скажите, что нужно сделать (сколько доплатить) чтобы вы перестали ипать моск, в противном случае я от вас сваливаю". Не факт, что поможет, конечно.

Ну и если у Дом.сру по-прежнему расторжение договоров только в офисе - приехать на расторжение и устроить скандал.

Outlook - часть экосистемы M$, для управления которой нужен Exchange. Если его нет - это просто обычный почтовый клиент на IMAP. Может быть можно через GPO.