Дмитрий

SSO, но это работает только на терминальной ферме

Не надо "клонировать" пользователя administrator, что бы это не значило. Создавайте новую учётку под каждого пользователя и добавляйте ее в нужные вам группы доступа.

SRP
Roaming profile
Folder redirections
Default Apps

Есть ещё такая штука как restricted groups

Можно ссылку разместить где то в каталогах доступных пользователю. Но лучше не допускать появления прав для конкретных пользователей к конкретным файлам - потом такая лапша из прав доступа получается, со временем.

При помощи ntfs ACL

В домене время у вех компьютеров входящих в домен синхронизируется с контроллерами домена. Если вы хотите поменять время, то логичнее это делать именно на контроллерах.

На Винде такое можно сделать начиная с WS2016. На Linux bind умеет такое уже давольно давно. Гуглите dns split horizon

Схема мастер отвечает за то, что именно он будет вносить изменения в ldap scheme, когда потребуется. Данные же хранятся на всех контроллерах домена.

С производительностью сети или с производительностью файлового сервера

Если ещё не поздно, переименуйте домен в нечто вида "inter.domain.tld". И не стоит выставлять контроллер домена филейной частью в интернет - для удалённых пользователей организуйте VPN.

1. Привыкнешь
2.0 делаем бекап
2.1 разворачиваем рядом второй сервер/сервера
2.2 мигрируем роли и нагрузку
2.3 ...
2.3.1 if (error==true) then восстанавливаем из бекапа;
2.4 profit.

Эти вопросы нужно согласовывать с бизнесом. Технически - я сохраняю отключённые учётки в отдельном OU DISABLED и снимаю с них участие во всех группах.