а в чём проблема? подключаетесь как к обычной wifi точке, при первом заходе на любую страницу вас перебросят на хотспот и просят указать телефон, на который будет отправлена смс. Любым телефоном получаете её и вводите на странице хотспота. ... всё.
Выбрать обновления только необходимых продуктов и только нужные типы обновлений. Регулярно производить очистку WSUS. Увеличить место под репозиторий обновлений. (опционально - выключить авто аппрув)
Парольная политика настраивается для контроллеров домена.
Если вы про галку в учётке АД, то можно написать на PS скрипт который пройдёт по учёткам и изменит параметр запрета смены пароля.
Если 5ГГц не интересуют, то возьмите пару 951G. Или пару hAP ac2. Одна точка доступ на 3 этажа будет хуже работать. Ещё вариант - одно центральное устройство и 2-3 cAP/cAP-lite