CityCat4

Не знаю, как насчет L2TP, а вот для IPSec нет ни одного нормального клиента. Был The GreenBow (он же ZyWall - только чуть перекрашеный), но там сложности с настройкой - нужно нехило так в IPSec шарить, чтобы понять, что ему надо. Встроенный виндовый клиент на машинных сертификатах - это как самое оно, которое надо.

Поставить надо ESXi - одинокий сервер бесплатно дадут. Внутри поднимать чего угодно, правда управлять всем этим хозяйством изнутри нельзя (без извратов). Если нужно непременно все на одном компе - линух, KVM (qemu + libvirt), оснастка управления и то же самое, только немного по-другому.

Никак (делаю удивленную морду).

iptables - программа управления линуховым файрволлом, к винде она никакого отношения не имеет

Смешались в кучу кони, люди...

"Домен" с точки зрения AD и домен например zhopa.ru - это две кардинальные разницы. Внутренняя инфраструктура сети всегда закрывается от внешней (и в MS есть даже специальный сервис для проброса оной наружу - ADFS)

Поэтому:
- убирайте нафиг ваш DC за роутер
- разворачивайте на нем DNS
- называйте его как угодно, это имя не имеет никакого значения (для тырнета)
- изнутри цепляетесь либо по IP либо по имени

Никак. Сеть не потянет, если у Вас там не оптика на 10G. Так себе идея. Вы сомневаетесь в надежности Windows ACL, что ли? Зря.

Говорим, разумеется об лицензии.

У автодеска все замешано и завернуто, как в сникерсе.
- Нужна административная учетка на портале автодеска
- Бессрочных лицензий нет, только интервальные
- Административная учетка создает юзерские учетки и присваивает имя права юзать ту или иную софтину (здесь группируется все, что от автодеска)
- Юзерская учетка логинится на своем компе, ей подтверждают право на запуск.

На некоторые ресурсы автодеску нужен доступ без прокси. Конкретно список я так и не выяснил, он вроде бы есть на сайте автодеска, но видимо неполный, потому что и с ним нифига не работает.
А сама по себе установка, как переписывание файлов на комп - работает как обычно...

Если есть комп, который можно выделить под это дело целиком (а управлять с другого компа) - не слушайте никого и ставьте vmware (хотя если это лаборатория - можно и hyper-v потом поставить - просто чтобы знать, как оно выглядит и чем отличается). Есть там все - и виртуальные свитчи и виртуальные сети и виртуальный роутер можно присобачить и винду поставить и не-винду тоже (вот это первое мне известное ограничение hyper-v - оно хорошо только с виндой).
Только комп нужен выделенный - vmware его занимает целиком. На один хост - бесплатно. Веб-морда есть.

Вот только инструкций таких обьемных не найти. Начинайте делать и задавайте конкретные вопросы.

Начать надо с самого босяцкого вопроса - а на сервере 1С корневой сертификат СA установлен в качестве корневого? У винды - у нее все связано насквозь друг с другом и вполне возможно, что она валидность проверяет тупо запросом в систему, а система не видит корневого и возвращает "сертификат не валиден".

Использовать собственный CA - это еще тот киберсекс, особенно тема валидности сертификатов :)

Никаких. Windows 7/8/10 etc. - однопользовательский десктоп, на ней - если по закону - нет и не может быть никакой терминальной работы. Если пользователь подключился удаленно, локальный пользователь отсоединяется. Точка.

В рамках законодательства Ваша задача не имеет решения.

. Сервер подключен по Wi-Fi

Никак. Потому что обрыв возможен там, где есть провод. Там, где провода нет - не бывает и обрывов (ну или можно сказать - там постоянный вечный обрыв :) ). WiFi - для развлечений, для клиентских устройств. На нем нет никакой гарантии стабильной работы.

А что Вы собственно хотите-то? Ну сделайте три обезличенных учетки - admin1, admin2, admin3 и закрепите за каждой конкретного Иванова, Петрова и Щварцмана. Здесь не придумать других вариантов, кроме как: одна учетка на всех, обезличенные учетки у каждого, персональные учетки у каждого.

какие комплексные мероприятия стоит провести системному администратору над компьютером, прежде чем передать его в пользование юзверю

Добавить в домен - в группу, соответстсвующую оргединице, в которой работает юзер. Все настройки должны подтянуться политиками - потому что политиками надо пользоваться, коль они есть :) Творить что-то руками - времени не напасешься.
Что касается блокирования USB и прочего - на это есть безопасники. Слив чего-либо через USB все равно будет отловлен CМП с точной фиксацией, кто, когда, где - юзер получит люлей (и возможно передумает работать в конторе - по крайней мере у нас прецеденты были). Я вот не думаю, что у Вас там такие данные, что их однократная утечка способна сильно на что-то повлиять - можно самому натолкнуться на собственные ограничения :)

физического доступа к серверу нет

Если есть возможность подгрузки своего ISO - загрузить и поставить. Иначе - никак.

Здесь задача распадается на две части (ну, по крайней мере, я полностью одним заходом ее не решил)
Часть1 - в конторе ставится один большой микротик, который потащит на себе VPN. У него должен быть белый IP. Брать модель с аппаратным шифрованием типа RB1100AHx2 (если она уже устарела то брать то, что рекомендуют взамен)

- подключение к AD постоянно работающих мини-офисов. По микротику на офис и настроить постоянный VPN на IPSec - это даст постоянное подключение к сети офиса так, как если бы она находилась в соседней подсети.
- Линухи, планшеты на андроиде, продукция яббла - через IPSec в режиме roadwarrior. На сайте strongswan множество документации, микротик - это тоже линух и там стоит тоже либо шван либо более старый ракун, поэтому для настройки документация сгодится, ну и у микротика своя есть.

Часть 2
- винда - я пока не знаю, как ее цеплять на IPSec, но ее можно подключать на PPTP, пробросом на какой-нибудь виндовый сервер.

Бред какой-то. Такие требования - и отсутствие финансов в размере (не знаю, как насчет 200р, но за 400р точно можно найти)? Да еще поддержка виндофона - у Вас там персональная машина времени в гараже?

А денег на лицензию есть?

Никак. В этой версии отсутствует графика - это "виндукс", в котором только командная строка. Powershell - Ваше все :)

Зачем? WSL - это подсистема предназначенная для локальной разработки на винде линуховыми инструментами. Такой анти-вайн, где наоборот, можно часть линуховых программ запустить в винде. Разрабам нужна, которые сидят под виной, но пишут для линуха.