Вася Пупкин

1. Это делается на уровне коммутации, разные vlan. Запретить одному на конект в сеть дхцп и все.
2. Если делать на ДХЦП то только запрет на устройства а не пользователей. Через фильтры WMI на дхцп пуле, который адреса выдает.

Добавить пользователя в группу администраторы

Попробуйте создать на втором сервере, который в домене, локального пользователя с таким же именем как учетка на первом, назначит на нужную папку права доступа для этой учетки и потом на первом сервере зайти в эту папку через \\ и когда запросит пароль указать кредишены новой учетки.

КД не восстанавливают из бекапа, поскольку если у вас их два, то ключи могли поменяться. На бекап ушли старые ключи керберос, а сломался он с новыми, в итоге когда вы разворачиваете из бекапа, то данные идут старые и у вас ничего не работает.
КД дублируются в сети через репликацию, но не восстанавливают.

Смотрите в сторону таргетирования или фильтром WMI или применяйте не на пользователей, а на ПК. Сделайте группу ПК и добавьте туда рабочие станции без РДП серверов.

А в чем проблема?
В дефолтном клиенте от MS для RDP под macos есть галочки при создании RDP подключения.
Не работает чтоли или вы просто не пытались даже?

Если в домене не поднят AD CS, где нужно будет сделать запрос и выдать новый сертификат серверу, то обычно это делается на локальном IIS через раздел "сертификаты".

На диск С у обычного юзера прав быть не должно по идее. Можно сделать польщователю "перемещаемый" профиль и разместить его на сервере с поднятой ролью "файловый сервер", где можно указать квоту на папку.

Видимость нет если стоит галочка "Добавить в AD", но вы можете просто в безопасности отключить доступ. Видить они будут, но подключить не смогут.

Если денег много, то разворачивайте Raid10, дорого, богато, надежно.

RemoteApp и пробрасывайте наружу веб-форму с доменной авторизацией или по радиусу (смотря как юзеры логинятся).

https://habr.com/ru/post/134892/ Прям с самого начала.

dcdiag