АртемЪ

насколько целесообразно бэкенд, фронтенд и бд распределить на разных машинах?

Если одна машина не справляется, или есть другие причины - то очень целесообразно.

Иначе нецелесообразно.

Как в таких ситуациях чаще всего поступают и на что лучше ориентироваться?

Запускают проект на том, что есть в наличии, и не сильно бъет по карману. А потом в зависимости от нагрузки подбирают железо и архитектуру.

для централизованного управления сетью и отдельными устройствами

А управление сетью это как? Чем именно там управлять?
Для управления отдельными устройствами есть программы, все зависит от протокола по которому идет управление.
Например SSH, telnet, различные утилиты от производителя вроде winbox.

возможности конфигурации инфраструктуры (как ansible, salt stack и т.п.),

И в чем проблема? Ставите тот же ansible и по ssh раскидываете конфигурации.

Судя по запросам вам подойдет putty или что-то в этом духе.
Позволяет все вышеперечисленное.

В файловой семерке нет возможности выгонять пользователей из базы.
Учет работы пользователей зависит от конфигурации - если он есть, такое возможно, но надо писать программу на встроенном языке 1с.

Если вам это надо для бэкапа - то бэкап можно делать и не выгоняя пользователей из базы.

Вы забыли одну существенную деталь.
Есть множество программ которые не требуют установки, либо устанавливаются прямо в профиль пользователя.

Поэтому следует настроить политики ограниченного использования программ - Software Restriction Policy.
Вот пример настройки.
В итоге пользователь у вас сможет запустить только указанные в политиках программы.
Другие исполняемые файлы даже если он скачает - запустить не сможет вообще.

По поводу запрета на файлы - запись должна быть разрешена только в свою папку и в свой профиль.
Остальные места - запретить.
Рабочий стол - да пусть пишут, это удобно для многих, просто удаляйте все лишнее скриптом при логине пользователя. В итоге каждый раз чистый стол.

Можете так же сделать бэкап профилей пользователей и восстанавливать их при необходимости.

Как уже сказал Drno -

• Ставите центральный микротик, зачастую самым удобным вариантом является небольшая VPS в датацентре и облачная лицензия микротик, которая стоит копейки.
  
• Всем клиентам настраиваете автоподключение к вашему центральному по VPN.
  

В итоге все живые на данный момент микротики доступны из локальной сети вашего центрального микротика.
А дальше элементарно - сами подключаетесь к нему и все внутренние адреса микротиков вам доступны, можете обращаться к ним.

Но буду ли я, подключившись к главному микроту напрямую, видеть в winbox все остальные, которые являются клиентами ovpn

Конечно, вы же в одной локальной сети.

Только не забивайте в VPN IP адрес, используйте имена. Домен стоит не больших денег, но избавляет от кучи головняков, связанных с изменением IP адреса.

и привести все к нормальному виду через Vlan'ы.

Для начала нужно решить для чего вам нужны Vlan'ы, какие задачи они будут решать.
После этого проектировать сеть - решать что именно и в какие vlan вам нужно запихать.

В локальной достаточно безопасен.
Все что нужно это отключение неиспользуемых и устаревших сервисов вроде старых версий SMB, и настройка фаервола.
В фаерволе заблокировать все чем не пользуетесь.
А доступ по RDP ограничить пулом локальных адресов.

Может в теневых копиях валяется.
Если нет - можно поискать на диске, но шансы восстановить стремятся к нулю.

Как это сделать быстро?

Единственный способ - пригласить специалиста, который делал все эти вещи. Если конечно надо сделать не только быстро но и качественно.

У вас насколько я понимаю один хост - поэтому как то ускорить и оптимизировать работу не получится. Было бы сто хостов с однотипной настройкой, были бы варианты, как ускорить работу в сто раз.

Что вебсервер, что телефония, что 1с - это все требует знаний и опыта в конкретной области.
Поэтому вполне вероятно что приглашать придется не одного специалиста.
Без знаний по мануалам настроить можно, и может быть вам повезет и все заработает, но вряд ли это будет быстро.

Потому что доступ к удаленному рабочему столу настроили, а к веб серверу нет.
Порты прокидывали нужные?

Я совсем не разбираюсь в системном администрировании и советы типа "пробрось порты" или "проверь файрволл" не помогут.

Ну тогда либо идите учиться на системного администратора, либо пригласите системного администратора.
Других вариантов нет.

А при чем тут оптимизация памяти, если ее не хватает?
Ищите процессы требующие много памяти, и ограничивайте их аппетиты.

Не совсем понятно о каком софте идет речь.
Если нужно подключится по RDP - в Windows есть встроенный клиент - mstsc

ccleaner

Правильно хороший пользователь самостоятельно вредоносный софт ставит на компьютер.

почему так много и зачем???

Столько сколько нужно.

Догадки, может это из-за 32gb ram?

Именно так.

глянул значение виртуальной памяти которое по выбору системы выставлено 57 gb

Не может быть такого! У вас файл подкачки 57гб! Как виртуальная память может быть 57гб? Это нереально. Может все таки 89Гб виртуальной памяти?