CityCat4

Можно небольшой совет - не упоминайте "изьятие" в перечне рисков :) Человек, который закладывает в риски изьятие, воспринимается, как человек, который готовит нечто противозаконное (а мы все под грохот канонады, во главе с Пиндостаном движемся в 1984 год, каким его видел Оруэлл). Пишите лучше "пожар" :)
Да, можно. В датацентре (где серьезная безопасность и противопожарка и украсть оттуда куда сложнее) ставится сервак (или арендуется, или берется VPS - все зависит от бюджета и квалификации), на котором разворачиваются необходимые сервисы, настраиваются бэкапы etc.
На рабочие места закупаются дишманские microITX корпуса (размером с большую книгу - чуть больше моего издания Библии), которые цепляются по сети к этому серваку, а на себе несут только ось, используют RDP, если винда или другие протоколы, если не винда и вся работа идет на серваке.
Такая примерно архитектура.
Дальше все зависит от бюджета, который есть под это дело.

Есть машина на которой работают 30-50 сотрудников

Одновременно что ли?

Нельзя.

И даже наоборот (когда хост линух, а гость винда) - можно только очень не всегда, нужно выполнить кучу условий и нехило знать линух. Здесь жта тема часто обсуждается, но пока в ней мало прогресса (а почему - а потому что NVidia например открыто этомсу противодействует, не давая запустить дрова в виртуальной винде на проброшенной карте)

Купить Windows Server
Купить M$ Exchange
Купить кучу клиентских лицензий на все это дело
И самое простое - все это настроить ;)

Раз в MVLC отображается, это уже хорошо - пишите в саппорт. Я такое-то юрлицо, приобрел тогда-то то-то, бухгалтерские документы утеряны. Поможите узнать, кто продал лицензии и напишите пожалуйста ксиву, что эти лицензии были на самом деле куплены.
Сами-то лицензии бессрочные. M$ точно должен знать, кому они продали данные лицензии, а там уже по цепочке обращаться...

Windows server нельзя купить "подешевле" - цену устанавливает M$. А купить можно у любого крупного продавана - softline, allsoft etc.

Стоить ли делать RAID 1 на SSD сервеный на котором буду устанавливать Windows Server 2016 ?

Если есть деньги на двойной обьем (то есть покупаем 2 SSD, по факту имеем обьем одного) - то почему бы и нет. RAID1 защитит от ситуации выхода диска из строя - Вы просто выкинули сдохший, и поехали покупать новый, юзеры в это время работают, они даже не заметили ничего (в той же ситуации без RAID - вы поехали покупать новый, потом занялись развертыванием бэкапов - а все это время юзеры играют в косынку).
НО: RAID - не бэкап!

Программный RAID грузит проц. На скорость работы не влияет. Аппаратный RAID проц не грузит - у него он свой, но он стоит денег.

В локальной сети с доменом файлы должны храниться централизованно. Это одна из аксиом, которые обычно не обсуждают - делают и все. Централизованно можно скрипт собственный написать, который будет делать то, что Вам нужно.
И разумеется, у юзеров не должно быть прав локальных аминов.

Оснастка "Сертификаты", раздел "Локальный компьютер" (не "Пользователь"!). Сертификат сервера должен находиться в папке "Личное".
Но обычно в этом нет необходимости - сертификат перевыпускается через IIS, если пользуетесь.

Написать можно хоть на vbs, хоть на ps - что знаете, на том и пишите. Задача несложная, решается что там что там. Читать документацию соответствующего языка и MSDN - вот что-то, а MSDN у M$ сделан офигительно.

Потому что VB не обязан поддерживать сторонние образы ВМ, а VHD - это образ Hyper-V. Снимайте заново или конвертите в VDI (и то может не заработать - такое часто бывает после конвертации)

Сразу возникает вопрос - а как с проверкой? Насколько мне известно, сейчас win2k12 сервер не купить легально. Ну, то есть если важна лицензионная чистота - никаких ибеев, покупать только у сертифицированного дилера, если же проверки пофиг - можно и активирвать, но это не тема для здесь - это ж таки не хакерский форум.

Автоматизация выпуска почтовых сертификатов - это правильная и естественная вещь. Но тут надо учесть следующее - прежде чем начинать массовое внедрение:
- у админа/ИБ-шника всегда должна быть копия почтовых сертификатов пользователя (у меня их аж три - и все хранятся в разных местах). Потому что почта хранится (то есть на сервере лежит в таком виде) в шифрованном виде и при утере ключа она превращается в тыкву. Абсолютно без шансов на восстановление
- выпуск почтовых сертификатов соответственно должен быть организован так, чтобы .p12 создавался админом вручную, чтобы была возможность переносить сертификаты с компа на комп, потому что выпуск сертификата на локальном компе помещает ключ сертификата (возможно, я не проверял!) в локальное хранилище сразу, без шансов его оттуда извлечь и любая перестановка винды превращает почту в тыкву.
- сертификаты выпускаются на год, их нужно своевременно перевыпускать. Если планируется использовать внешние программы чтения почты с сертфиикатами (типа MailDroid) - обязательно наличие доступного и действующего CRL, без него расшифровка в MailDroid например может и не пойти.
- возможно такой способ сделать это целиком на винде есть, но мне он неизвестен. Раньше я использовал виндовый CA и это реально была попаболь - создать CSR на линухе, вставить его в веб-интерфейс службы CA на винде, экспортировать сертификат в линух, собрать PKCS#12... С некоторых пор я все это делаю на линухе.

UPD: Пиши, еслиф че. Мыло в профиле. Почтовые сертификаты - тема огого какая.

Не рекомендуется. tcp/8080 - стандартный порт для прокси, долбить будут от всей души...

Я не совсем понял - нужно имена элементов схемы? В оснастке "Пользователи и компьютеры" правый клик, "Вид -> Дополнительные компоненты" должен по идее включить "Редактор атрибутов" (не помню, как включил, давно уже), где видно все атрибуты схемы данного обьекта и можно их редактировать. Там их сотни.

Написать скрипт, который проверяет имя файла по регулярке и все отобранные с точкой в конце переименовывает, отбрасывая точку. Пишется все на bash за полчаса маскимум.

На Win7/8/10 - никак. Потому что это десктоп, а не сервер и в нем ровно одно удаленное соединение.

В конце 2019 года незадолго до того, как сдохнуть в "Системном администраторе" была пара статей по настройке squid по аутентиифкации через керберос и управлении группами через AD. Задача вполне решаема на одном прокси. Она решаема даже без управления группами, но там в статье еще про бампинг, без которого нынче весь контроль доступа сьеживается до контроля первичного захода и то при условии, что DoH не задействован или сервера DoH заблокированы.