RStarun

С одной стороны в любой офис где больше 5 ПК и нужны хоть какие-то ограничения по доступам уже можно ставить AD. Когда-то у МС были примерно такие рекомендации. И были сервера foundation до 15 пользователей с ценой как десктоп. С другой... сейчас ставить МС не модно. Нет, если навыков по другим продуктам мало, если за пиратку не переживаете, то все можно. И подняв на МС уже переползать на другие продукты в чем-то проще. Тем более что у вас уже везде на ПК винда стоит, винсервер будет быстрее внедрен.

Если не заморачиваться по виндовым продуктам, то можно просто поставить хранилку NAS (можно самопал на truenas), там обычно есть Samba. Насколько я помню она позволяет поднять домен и запихнуть туда компы и пользователей, распределить права доступа. Там нет GPO и много чего еще. Заодно будет иметь рейд и бекап на диск со снепшотами. Все это с красивым веб интерфейсом и без возможности стрельбы в ногу. Можно и без заведения компов в домен. Просто подключить нужные сетевые диски каждому пользователю под его учетными данными созданными в NAS.

Бухам действительно нужно отдельно жить, только не сеть отдельную, а просто отдельные папки с их данными и 1С. Чтобы никто кроме них туда не лез. И даже папки баз 1С нужно разграничивать, часть сотрудников пойдут в УТ, бухи пойдут и в УТ и в БП, часть бухов пойдут в УТ, БП, ЗиК.

Сеть пока плоская, с одной подсетью. Ну если видеонаблюдение будет, можно вывести в доп сеть.

По урокам не знаю, раньше можно было почитать рекламные буклеты|сайты где расписано как классно вы заживете купив тот или иной продукт. Ну и дальше уже пытаться внедрить описанные решения приближая действительное к желаемому. Рекламные материалы по тому как лучше обустроить SMB сегмент в интернетах валяются, ищите. Ключевые слова SMB, small business, soho server. Есть учебные курсы по тем или иным продуктам у вендоров. Тыкаетесь, понимаете какие вас беспокоят проблемы, понимаете какие вопросы нужно решить, находите продукт закрывающий проблему, обучаетесь по этому продукту, внедряете, следующая итерация.

Чаще всего встречаю такую картину если неправильно настроен ДНС на клиентах и на сервере. Посмотрите в настройках сетевых адаптеров на клиентских ПК - кто прописан в качестве ДНС сервера? Вероятно там прописано что угодно, например 8.8.8.8, только не нужный адрес - адрес вашего dns сервера. Там должен быть он и ТОЛЬКО он! Если DC несколько, то конечно несколько адресов. Если там прописаны другие DNS сервера, скажем Яндекса, то откуда Яндекс может знать ваши внутренние адреса в вашей сети?
Так же, если адреса присваивали вручную, то хорошо бы указать DNS суффикс подключения. Если суффикс не указан, то по запросу pc03 комп может ничего не найти, а если указать, то он сначала попробует найти pc03.mylan.local и, скорее всего, найдет.
Со стороны сервера необходимо чтобы в настройках сетевого адаптера так же был прописан в днс сам сервер (127.0.0.1). Ну и далее уже смотрим настройки службы сервера ДНС если что-то не так.
Если используете dhcp, то сервер dhcp должен быть авторизован в домене чтобы его записи попадали на dns сервер. Если не используете и прописываете адреса руками, то пропишите так же руками и в dns эти ip/hostname.
В качестве средства диагностики используйте nslookup - отличная штука которая позволяет сразу выявить кучу проблем вместо тыканья вслепую.

1с пока работает - лучше не трогать. Пока у бизнеса не появилась новая задача, требующая изменений в 1с. Сейчас там вроде есть много вариантов синхронизации с удаленными офисами. Но этими задачами должен 1сник озадачиваться.
Сеть на L2TP нужно наверное поднять, почему нет. Так и техподдержку юзерам удобнее оказывать. Обслуживать парк машин и прочего оборудования. Нарезаете подсетей для каждого филиала и вперед. Необходимость в ammy отпадает, появляется много других вариантов. Единственное, сделать так чтобы при падении vpn канала обмен не останавливался. Чтоб не быть потом крайним если в определенный день синхронизация не пройдет.

Для домашних нужд может подойти домашнее решение не требующее проброса портов - anydesk, teamviewer...
По поводу rdp, нужно проверить из любого другого места возможность подключения. Так проще удостовериться что проблема не в настройке домашнего роутера/компа. А уже потом посмотреть получиться ли то же самое из офиса.
Еще момент. Выставляя порт 3389 наружу (или с другим номером, но rdp), нужно убедиться что на ПК устанвлены все последние обновления + точно нет никаких учеток с простыми паролями. Т.к. брутфорс начнется сразу же после открытия порта.

LanSweeper для первой инвентаризации подойдет просто идеально. Прям совсем идеально. Нет, честно. Оно умеет опрашивать всеми придуманными способами сетевые устройства, имеет возможность инвентаризации софта, умеет получать данные с оффлайн машин или машин за периметром (агент + файл результата скана). Вам же наверное не только железки посчитать надо, но и лицензиями управлять. Иногда даже ключи вытаскивает, удобно.
Но есть одно но. Триал период. А после, оно бесплатно дает только 30 устройств опрашивать.
Spiceworks тоже ничего, но у меня сложилось впечатление что установил в сеть трояна :)
Кто-то использовал ранее для этих целей Aida, там есть возможность экспорта данных с каждого из агентов, а значит должна быть возможность импорта в какую-то бд.

Все норм, только нужно вланами разбить эти две сетки. А клиентский пк 3 должен либо уметь два влана, либо иметь две сетевухи.
Если коммуты умные, то вланы лучше на них завести тоже.

Еще вопрос какой сервер.
если это случайно SBS, то он сам практически все умеет настраивать.
В панели его управления есть пункты про подключение к сети интернет. При запуске этого пункта сервер сам пытается настроить роутер, а так же сообщает что необходимо сделать если автоматическая настройка не удалась.
Еще он сам регистрируется в Майкрософте и выдает ссылку по которой можно получить к серверу доступ (удаленные рабочие столы машин в сети, его удаленный рабочий стол, общие документы и т.п.). Всё через браузер IE.