Sasha Odarchuk

https://www.forensit.com/downloads.html
Этими утилитами легко

User State Migration Tool (USMT)

Есть утилиты проверки целостности:
https://otr-soft.ru/faq-common/oshibki-1s/utilita-...

Но от удалённых данных они не спасут.
Пустая база полностью корректная с точки зрения 1с, но не бухгалтера.

Исходите из идеи, что ПК сотрудников не имеют ценности. Сломался один, сел за другой, продолжил работу. При чем мало, что сел, но и получил все свои файлы, настройки и обои рабочего стола с котиками.
Всё ценное должно перемещаться при выключении на сервер.
В случае с виндой - это называется перемещаемые профили.
Исключение составляют специфичные данные специфичных программ, которые хранят свою работу напрямую на диске С. Вот с ними нужно отдельное решение, чтоб своевременно выгребать в серверную копию.
А вот уж серверные копии - должны быть защищены по всем негативным сценариям: выход из строя диска, ошибки файловой системы, легитимное уничтожение данных, отказ сервера целиком, шифрование злоумышленником с полным разрушеним всех данных, инфраструктуры и резервных копий. И тут я не ошибся - резервное копирование должно иметь защиту от уничтожения резервных копий.

Всё уже придумано за вас:
https://self-service-password.readthedocs.io/en/stable/

Где-то обсуждали, но не уверен, что найду источник. Может даже на Хабр Q&A.

В качестве такого портала можно использовать любую винду (1) в домене, (2) с включенным удалённым доступом (роль RDS не требуется), (3) с выключенным требованием NLA и (4) с выключенными для простых смертных правами на удалённый доступ. Все пункты существенные. Отключение NLA нужно, чтобы не отфутболивало пользователя с галкой "требовать смену пароля", либо с просроденным паролем. Отсутствие же прав на доступ нивелирует дыру, создаваемую отключением NLA. Фактически, простые смертные не смогут сделать ничего, кроме смены пароля, после чего пользователя выкинет.

Классическое GLPI + FusionInverter или что-то подобное
Но задача больше административная - пломбировка системников, написание политик, инструкций и роспись сотрудников в карточках оборудования - это если уж совсем заморачиваться.
Хотя в большинстве случаев достаточно чтобы бухи назначили МОЛ началька отдела (кабинета) и закрепили все имущество за ним, а не так что все компы в организации числятся за сисадмином

copy "C:\Users\nitro80\AppData\Roaming\1C\1CEStart\ibases.v8i" "C:\Users\Default User\AppData\Roaming\1C\1CEStart\"
(предполагается, что у пользователя nitro80 были прописаны ровно те базы, которые нужны будут всем новым пользователям).
Но AppData\Roaming\1C\1CEStart\ibases.v8i - это простой текстовый файл, который можно хоть Блокнотом редактировать, удаляя оттуда ненужные и вставляя нужные базы, исправляя понятные пользователю названия баз, исправляя пути к базам...

Общий принцип: то, что вы закинули в профиль Default User, будет появляться у новых пользователей (например, ярлыки на рабочем столе и т.п.).

Процы 10-15 летней давности покупать не стоит, это гарантировано. У вас там не будет ни шин быстрых, ни отказоустойчивости.
Если нет денег на хотя бы 5-ти летний сервер, ваш вариант - это собрать два компа из топового консьюмерского железа из какого нибудь предпоследнего поколения: 3.5-4 Ghz проц ядер на 10-12, по два три диска nvme m2 pci4 (это обязательно, я бы сказал) минимально по одному террабайту, RAM 64 ГБ (но лучше, по 128 много всегда лучше, чем меньше). И еще какой-нибудь старый сервер или комп, чтобы на нем поднять реплику (слэйв) СУБД + файловый бэкапсервер, на случай шиндеца. (главное откатать сценарий обрушения прода).

А руководству объяснить, что из говна 15 летней давности конфетку не сделаешь. Поэтому ваш вариант с Ryzen 7 - как золотая середина, но в кол-ве двух штук, так как у вас при 40 активных пользователях при условии, что они будут сёрфить интернет и открывать как не в себя по 30 вкладок, 64 ГБ съест только один терминальник и ВМ в такие моменты будет "фризиться".

"Что вообще должно быть Ит отделе?"
По минимуму должно быть следующее:
1. Процесс по инвентаризации оборудования и ПО (хотя бы в файлике Excel)
2. Управление учетными записями (политики паролей, хранение и т.п.). Тут все зависит от огранизации и используемого окружения.
3. Процесс по установке обновлений безопасности для ОС, ПО и firmware оборудования.
4. Процесс резервного копирования данных и описание процесса восстановления инфраструктуры после сбоя.
Опционально - процесс по получения инцидентов и запросов на обслуживание от пользователей (servicedesk)

Что от вас будут хотеть проверяющие - тут уже нужно обсуждать предметно.

Организация рабочих процессов IT отдела - это обязанность руководителя данного отдела. StanislavOtan у вас какая должность? Что в должностных обязанностях написано? Если вы не руководитель данного отдела - то в вашу область ответственности организация рабочих процессов не входит. Даже если руководителя нет - просто переадресуйте этот вопрос наверх. Если вы руководитель, то вам надо просто найти и нанять опытного человека для организации рабочих процессов в отделе. Без опыта сделать это можно только набивая свои шишки: в сети много курсов, статей и прочего.

Для полного удаления всех офисов есть официальный Microsoft office uninstaller от MS.

3 отдельных инстанса Veeam Backup and Replication, каждый может бесплатно бекапить 10 рабочих станций.

Эта ошибка означает, что возникло исключение при обработке некого сообщения. Не исключено (но и не факт), что это произошло из-за вмешательства этой самой DLP системы.
Сообщение вызывающее исключении при обработке, помещается в очередь Poison message queue. Смотрите там - если сообщение есть, конечно: например, ваша DLP могла его удалить внезапно для службы транспорта Exchange, тип исключения вполне такому сценарию соответствует. Если подозреваете DLP - сопоставьте ваш лог Exchange с логом DLP на момент возникновения исключения, чтобы понять, что делала в этот момент DLP.

попробуй powershell

$printerName = "имя_принтера"
# Снятие "галочки" с порта port1
(Get-PrintConfiguration -PrinterName $printerName).PrinterPortName.Remove("port1")
# Добавление "галочки" для порта port4
(Get-PrintConfiguration -PrinterName $printerName).PrinterPortName.Add("port4")

Не совсем уверен но кажется нужно после сохранить изменения.
я на нашел готовых примеров использования, а chatgpt генерит что то типа этого, чему я не очень верю:

Set-PrintConfiguration -PrinterName $printerName -PrinterPortName (Get-PrintConfiguration -PrinterName $printerName).PrinterPortName

Варианты известны, и зависят они от того, насколько высокая доступность вам нужна - цена решения будет соответствующая.

1. Балансировка на уровне DNS.
2. Балансировка на уровне DNS с обратной связью.
3. Домен фронтинг с несколькими апстримами (тот же Cloudflare).
4. Своя AS с IP-адресами, анонсируемыми через разных интернет-провайдеров.