Сергей Ковалёв

И я подозреваю, что кто-то время от времени подключается к нему и наблюдает за моим мониторм (может ещё и другая информация доступна).

Если вас не предупреждали под подпись о том, что за вашими действиями на ПК могут наблюдать, то задайте вопрос службе безопасности или своему начальнику, возможно, вскроется инсайдер или факт злоупотребления.

Есть много признаков как я это понял, но один очень раздражает - у меня убегает стрелка мыши то в левый, то в правый верхний угол.

Поменяйте мышь или положите под нее коврик с тряпочной основной. Бликующая поверхность по которой двигаются светодиодные мыши часто приводят к тому, что курсор улетает в углы экрана. Те кто наблюдают, обычно подключаются в режиме просмотра, а не управления.

Я подозреваю, что это админы

В службу безопасности вопрос задайте и все.

Переименовать домашнюю папку?

Откройте для себя Active Directory Group Policy, ярлыки, папки, доступы, сетевые диски, фон рабочего стола прикручиваются к пользователю в каком угодно вам виде.

Не слушайте всех остальных :)
Все сервера в организации должны быть виртуальными, кроме хостов виртуализации!
Страшилки вам расскажут, те кто не использует это полноценно в продакшене. Особенно в части того, что хост и другие виртуалки стартуют раньше КД.

Как должно быть:
0. В настройках виртуалок с КД включите принудительное включение после старта хоста.
1. Отключите настройку синхронизации времени от хоста к виртуальной машине с КД в свойствах виртуальной машины.
1а. Настройте синхронизацию КД с таймсервером.
2. КД должно быть минимум два.
3. КД должны располагаться на двух разных хостах и хранилищах.
4. Резервное копирование КД должно происходить одновременно с серверами с Sharepoint и Exchange.
5. При восстановлении из резервной копии одного из КД важно учитывать состояние и приоритет репликации (начиная с Win2012 и с современными бэкапилками типа Veeam B&R не так актуально)
6. Пароль администратора КД (а заодно и всего домена) вещь сокровенная и кроме как для входа на КД в случае сбоев использоваться более нигде не должен.

domain.ad\user - UPN имя
user@domain.ad - UPN имя

используйте Down-Level Logon Name (NetBIOS):
domain\user

разница в том, какой сервис отвечает за первичную авторизацию.

В контексте уточнений:

Перед тем как выполнить решение от @Ivanzor
Произведите миграцию P2V старого контроллера домена.
Запустите его на любом ПК с установленной ролью Hyper-V (Windows 8/8.1, Server 2008/2008R2/2012/2012R2, Hyper-V Core)
После этого можно смело делать:
Ввод нового контроллера домена на 2008
Перенос ролей на 2008 (FSMO)
Удаление старых контроллеров с домена.