"Если отключить через брандмауэр" - видимо не правильно отключаете. Нужно правильно составить правило, которое будет разрешать с адреса сервера (или для конкретных групп или пользователей) доступ на определенный сервер и запрещать для остальных.
Да, возможно.
Через powershell логика такая. Получить список нужных машин (сборов по сети или вручную создав файл), зайти в цикле ForEach на каждую машину по enter-pssession или invoke-command и достать через Get-LocalGroupMember список членов нужной вам локальной группы, записать его в файл или переменную.
И это только один из вариантов - гораздо больше их есть в Интернет, если соблаговолите погуглить
У многих систем резервного копирования свой драйвер для shadow copy.
Если вас волнует это - поставьте серверный или безсерверный veeam, там свой драйвер.
Для решения подобных проблем есть netmask ordering, split dns, а также разделение зон и conditional forwarders и stub zones.
Так как в вопросе отсутствует конкретика - разные ли зоны или одинаковые, DNS во второй сети это DC с AD-integrated DNS zones или просто DNS сервер, сказать что-то определенное сложно.
P.S. Для AD integrated DNS есть возможность создания application directory partition для менеджмента скопами репликации DNS зон между разными контроллерами домена.
Правильнее поднять новый контроллер в другом йод, а потом вывести из эксплуатации старый.
Если он у вас один - это не правильно. Если несколько - вы же понимаете как авторизация в AD работает, как DC locator действует?
Папки скрываются от пользователя через ABE только при отсутствии любых прав на них. Если пользователь видит папки, значит права на них есть-это можно проверить через вкладку Effective Access.
Переход с версий с закончившимся сроком поддержки (EOL) не просто целесообразен, а является стандартным походом в жизненном цикле ПО.
Да в общем и целом можно все операции делать как In-Place Upgrade. Но нужны бекапы, подготовка и желательно прогон в тестовом окружении.
Terminal Services Easy Print не удаляется и не скачивается. Это внутренний функционал Remote Desktop и Windows Print Server, он может быть включен или выключен.