Sasha Odarchuk

На сайте mikrotik.com есть таблица тестов IPsec
Если такой таблицы нет - то аппаратно не поддерживает и все упирается в мощность CPU
Теоретически arm быстрее, но относительно топового mmips будет слабее

В данном случае у RB760iGS есть аппаратный IPsec, но средний 50Мбит. Возможно в L009 появится прошивка с поддержкой аппаратного IPsec. Либо его мощности arm смогут больше, чем 50.

Для этой задачи лучше взять RB5009

Странная задача - обычно перенос/миграция делается с повышением версии. Подробности нужны - тут может быть как просто перенос писем между серверами, так и cross-forest миграция.

На 2016 в принципе все подготовлено и учетки созданы

2016 поднят в отдельном лесе или существует рядом с 2019? Как вы учётки создавали? И что помешало подготовить новый 2019 вместо старого или донастроить существующий?

https://www.forensit.com/downloads.html
Этими утилитами легко

User State Migration Tool (USMT)

Есть утилиты проверки целостности:
https://otr-soft.ru/faq-common/oshibki-1s/utilita-...

Но от удалённых данных они не спасут.
Пустая база полностью корректная с точки зрения 1с, но не бухгалтера.

Исходите из идеи, что ПК сотрудников не имеют ценности. Сломался один, сел за другой, продолжил работу. При чем мало, что сел, но и получил все свои файлы, настройки и обои рабочего стола с котиками.
Всё ценное должно перемещаться при выключении на сервер.
В случае с виндой - это называется перемещаемые профили.
Исключение составляют специфичные данные специфичных программ, которые хранят свою работу напрямую на диске С. Вот с ними нужно отдельное решение, чтоб своевременно выгребать в серверную копию.
А вот уж серверные копии - должны быть защищены по всем негативным сценариям: выход из строя диска, ошибки файловой системы, легитимное уничтожение данных, отказ сервера целиком, шифрование злоумышленником с полным разрушеним всех данных, инфраструктуры и резервных копий. И тут я не ошибся - резервное копирование должно иметь защиту от уничтожения резервных копий.

Всё уже придумано за вас:
https://self-service-password.readthedocs.io/en/stable/

Где-то обсуждали, но не уверен, что найду источник. Может даже на Хабр Q&A.

В качестве такого портала можно использовать любую винду (1) в домене, (2) с включенным удалённым доступом (роль RDS не требуется), (3) с выключенным требованием NLA и (4) с выключенными для простых смертных правами на удалённый доступ. Все пункты существенные. Отключение NLA нужно, чтобы не отфутболивало пользователя с галкой "требовать смену пароля", либо с просроденным паролем. Отсутствие же прав на доступ нивелирует дыру, создаваемую отключением NLA. Фактически, простые смертные не смогут сделать ничего, кроме смены пароля, после чего пользователя выкинет.

Классическое GLPI + FusionInverter или что-то подобное
Но задача больше административная - пломбировка системников, написание политик, инструкций и роспись сотрудников в карточках оборудования - это если уж совсем заморачиваться.
Хотя в большинстве случаев достаточно чтобы бухи назначили МОЛ началька отдела (кабинета) и закрепили все имущество за ним, а не так что все компы в организации числятся за сисадмином

copy "C:\Users\nitro80\AppData\Roaming\1C\1CEStart\ibases.v8i" "C:\Users\Default User\AppData\Roaming\1C\1CEStart\"
(предполагается, что у пользователя nitro80 были прописаны ровно те базы, которые нужны будут всем новым пользователям).
Но AppData\Roaming\1C\1CEStart\ibases.v8i - это простой текстовый файл, который можно хоть Блокнотом редактировать, удаляя оттуда ненужные и вставляя нужные базы, исправляя понятные пользователю названия баз, исправляя пути к базам...

Общий принцип: то, что вы закинули в профиль Default User, будет появляться у новых пользователей (например, ярлыки на рабочем столе и т.п.).

Процы 10-15 летней давности покупать не стоит, это гарантировано. У вас там не будет ни шин быстрых, ни отказоустойчивости.
Если нет денег на хотя бы 5-ти летний сервер, ваш вариант - это собрать два компа из топового консьюмерского железа из какого нибудь предпоследнего поколения: 3.5-4 Ghz проц ядер на 10-12, по два три диска nvme m2 pci4 (это обязательно, я бы сказал) минимально по одному террабайту, RAM 64 ГБ (но лучше, по 128 много всегда лучше, чем меньше). И еще какой-нибудь старый сервер или комп, чтобы на нем поднять реплику (слэйв) СУБД + файловый бэкапсервер, на случай шиндеца. (главное откатать сценарий обрушения прода).

А руководству объяснить, что из говна 15 летней давности конфетку не сделаешь. Поэтому ваш вариант с Ryzen 7 - как золотая середина, но в кол-ве двух штук, так как у вас при 40 активных пользователях при условии, что они будут сёрфить интернет и открывать как не в себя по 30 вкладок, 64 ГБ съест только один терминальник и ВМ в такие моменты будет "фризиться".

"Что вообще должно быть Ит отделе?"
По минимуму должно быть следующее:
1. Процесс по инвентаризации оборудования и ПО (хотя бы в файлике Excel)
2. Управление учетными записями (политики паролей, хранение и т.п.). Тут все зависит от огранизации и используемого окружения.
3. Процесс по установке обновлений безопасности для ОС, ПО и firmware оборудования.
4. Процесс резервного копирования данных и описание процесса восстановления инфраструктуры после сбоя.
Опционально - процесс по получения инцидентов и запросов на обслуживание от пользователей (servicedesk)

Что от вас будут хотеть проверяющие - тут уже нужно обсуждать предметно.

Организация рабочих процессов IT отдела - это обязанность руководителя данного отдела. StanislavOtan у вас какая должность? Что в должностных обязанностях написано? Если вы не руководитель данного отдела - то в вашу область ответственности организация рабочих процессов не входит. Даже если руководителя нет - просто переадресуйте этот вопрос наверх. Если вы руководитель, то вам надо просто найти и нанять опытного человека для организации рабочих процессов в отделе. Без опыта сделать это можно только набивая свои шишки: в сети много курсов, статей и прочего.

Для полного удаления всех офисов есть официальный Microsoft office uninstaller от MS.

3 отдельных инстанса Veeam Backup and Replication, каждый может бесплатно бекапить 10 рабочих станций.