Sasha Odarchuk

Классическое GLPI + FusionInverter или что-то подобное
Но задача больше административная - пломбировка системников, написание политик, инструкций и роспись сотрудников в карточках оборудования - это если уж совсем заморачиваться.
Хотя в большинстве случаев достаточно чтобы бухи назначили МОЛ началька отдела (кабинета) и закрепили все имущество за ним, а не так что все компы в организации числятся за сисадмином

copy "C:\Users\nitro80\AppData\Roaming\1C\1CEStart\ibases.v8i" "C:\Users\Default User\AppData\Roaming\1C\1CEStart\"
(предполагается, что у пользователя nitro80 были прописаны ровно те базы, которые нужны будут всем новым пользователям).
Но AppData\Roaming\1C\1CEStart\ibases.v8i - это простой текстовый файл, который можно хоть Блокнотом редактировать, удаляя оттуда ненужные и вставляя нужные базы, исправляя понятные пользователю названия баз, исправляя пути к базам...

Общий принцип: то, что вы закинули в профиль Default User, будет появляться у новых пользователей (например, ярлыки на рабочем столе и т.п.).

Процы 10-15 летней давности покупать не стоит, это гарантировано. У вас там не будет ни шин быстрых, ни отказоустойчивости.
Если нет денег на хотя бы 5-ти летний сервер, ваш вариант - это собрать два компа из топового консьюмерского железа из какого нибудь предпоследнего поколения: 3.5-4 Ghz проц ядер на 10-12, по два три диска nvme m2 pci4 (это обязательно, я бы сказал) минимально по одному террабайту, RAM 64 ГБ (но лучше, по 128 много всегда лучше, чем меньше). И еще какой-нибудь старый сервер или комп, чтобы на нем поднять реплику (слэйв) СУБД + файловый бэкапсервер, на случай шиндеца. (главное откатать сценарий обрушения прода).

А руководству объяснить, что из говна 15 летней давности конфетку не сделаешь. Поэтому ваш вариант с Ryzen 7 - как золотая середина, но в кол-ве двух штук, так как у вас при 40 активных пользователях при условии, что они будут сёрфить интернет и открывать как не в себя по 30 вкладок, 64 ГБ съест только один терминальник и ВМ в такие моменты будет "фризиться".

"Что вообще должно быть Ит отделе?"
По минимуму должно быть следующее:
1. Процесс по инвентаризации оборудования и ПО (хотя бы в файлике Excel)
2. Управление учетными записями (политики паролей, хранение и т.п.). Тут все зависит от огранизации и используемого окружения.
3. Процесс по установке обновлений безопасности для ОС, ПО и firmware оборудования.
4. Процесс резервного копирования данных и описание процесса восстановления инфраструктуры после сбоя.
Опционально - процесс по получения инцидентов и запросов на обслуживание от пользователей (servicedesk)

Что от вас будут хотеть проверяющие - тут уже нужно обсуждать предметно.

Организация рабочих процессов IT отдела - это обязанность руководителя данного отдела. StanislavOtan у вас какая должность? Что в должностных обязанностях написано? Если вы не руководитель данного отдела - то в вашу область ответственности организация рабочих процессов не входит. Даже если руководителя нет - просто переадресуйте этот вопрос наверх. Если вы руководитель, то вам надо просто найти и нанять опытного человека для организации рабочих процессов в отделе. Без опыта сделать это можно только набивая свои шишки: в сети много курсов, статей и прочего.

Для полного удаления всех офисов есть официальный Microsoft office uninstaller от MS.

3 отдельных инстанса Veeam Backup and Replication, каждый может бесплатно бекапить 10 рабочих станций.

Эта ошибка означает, что возникло исключение при обработке некого сообщения. Не исключено (но и не факт), что это произошло из-за вмешательства этой самой DLP системы.
Сообщение вызывающее исключении при обработке, помещается в очередь Poison message queue. Смотрите там - если сообщение есть, конечно: например, ваша DLP могла его удалить внезапно для службы транспорта Exchange, тип исключения вполне такому сценарию соответствует. Если подозреваете DLP - сопоставьте ваш лог Exchange с логом DLP на момент возникновения исключения, чтобы понять, что делала в этот момент DLP.

попробуй powershell

$printerName = "имя_принтера"
# Снятие "галочки" с порта port1
(Get-PrintConfiguration -PrinterName $printerName).PrinterPortName.Remove("port1")
# Добавление "галочки" для порта port4
(Get-PrintConfiguration -PrinterName $printerName).PrinterPortName.Add("port4")

Не совсем уверен но кажется нужно после сохранить изменения.
я на нашел готовых примеров использования, а chatgpt генерит что то типа этого, чему я не очень верю:

Set-PrintConfiguration -PrinterName $printerName -PrinterPortName (Get-PrintConfiguration -PrinterName $printerName).PrinterPortName

Варианты известны, и зависят они от того, насколько высокая доступность вам нужна - цена решения будет соответствующая.

1. Балансировка на уровне DNS.
2. Балансировка на уровне DNS с обратной связью.
3. Домен фронтинг с несколькими апстримами (тот же Cloudflare).
4. Своя AS с IP-адресами, анонсируемыми через разных интернет-провайдеров.

Вы можете у своего DNS регистратора просто прописать A запись на IP обоих серверов, и он будет их перебирать "примерно" по очереди.

Либо CDN который умеет проверять доступность, например cloudflare

Групповые политики применяются на сайт Active Directory, домен или подразделение (Organizational Unit) в структуре AD.
Дальше, при необходимости, с помощью Security Filtering и WMI-фильтров область применения групповой политики ограничивается группами безопасности, компьютерами, пользователями и т.д.

ForensiT User Profile Wizard
User State Migration Tool (USMT)
Ручной способ

Все контроллеры домена равнозначны - поэтому редактировать GPO можно на любом, где есть компонент Group Policy Management и достаточно прав. По вашему описанию я понял, что вы сбрасываете в "дефолт" какую-то политику на одном КД и тут же, не дожидаясь репликации, настраиваете ее на другом контроллере - кто вас научил делать именно так?
Обычный порядок такой: меняем политику - ждем репликацию (или подпинываем ее через repadmin) - выполняем gpupdate /force на клиенте - проверяем результат через gpresult /r или gpresult /h.
Kerberos Policy - политика уровня домена (domain-wide). Параметры настраиваются или в Default Domain Policy, или в отдельной политике, которая привязывается к корню домена и имеет более высокий приоритет, чем Default Domain Policy.
Не помешает проверить здоровье контроллеров домена (репликацию, ошибки и т.д.)

Нехватка IP адресов исключается, их хватает

"Верить в наше время нельзя никому, порой - даже себе."((с) Папаша Мюллер). Поэтому для начала проверьте, получает ли компьютер адрес IP (командой ipconfig, к примеру) .
И только потом уже проверяйте обнаружение контроллера домена:
целиком - командой nltest /dsgetdc:имя.домена
через DNS (если первое не прошло) nltest /dnsgetdc:имя.домена

Ну, и если ничего не получается, надо посмотреть ошибки в журнале событий Система (System) от источника Сетевой вход в систему(Netlogon) - там может быть написано, почему.

Версия Exchange какая? 600 пользователей для нормально настроенного Exchange - это не нагрузка.
Отправка куда выполняется - внутри организации или внешним получателям?
Как подключаются клиенты к почтовому серверу?
Какие порты открыты на сетевом оборудовании?
Настроены ли какие-либо политики регулировки (throttling policies)?
...
Я бы на вашем месте посоветовал вашему руководителю нанять знающего инженера для решения проблемы...Ибо мы будем задавать вопросы, на которые нужны ответы, и еще, возможно, будут нужны скриншоты настроек, выводы команд и т.д.

В Exchange вся почта хранится на сервере, если только у вас не клиенты POP3. Если клиенты - Outlook, то в нем есть режим кеширования, как раз для снижения количества обращений к почтовому серверу. Если этот режим отключить - клиент за каждым письмом будет обращаться к серверу.
"Сетевой архив" - это что? Почта, выгруженная с сервера в PST-файл, или другое? В Exchange есть понятие архивный почтовый ящик.

относительно бэкапа Exchange вообще и использования Windows Server Backup в частности:
Types of backup operations for Exchange 2013
Backup, restore, and disaster recovery

Exchange 2013 supports only Exchange-aware, VSS-based backups. Exchange 2013 includes a plug-in for Windows Server Backup that enables you to make and restore VSS-based backups of Exchange data. To back up and restore Exchange 2013, you must use an Exchange-aware application that supports the VSS writer for Exchange 2013, such as Windows Server Backup (with the VSS plug-in), Microsoft System Center 2012 - Data Protection Manager, or a third-party Exchange-aware VSS-based application

Using Windows Server Backup to back up and to rest...

- The backup must be run locally on the server being backed up
- Only full backups should be taken

Если вам действительно нужна инкрементальная копия - смотрите сторонние средства: Veeam B&R, Symantec NetBackup, SC DPM и т.д. Но основная прелесть этих решений не в инкрементальной копии, а в умении делать гранулярное восстановление