Дмитрий

Потому что с hyper-v появляется виртуальный коммутатор.

Что не разрешено - запрещено по умолчанию. Явные запреты лучше не использовать без острой необходимости.

Лучше всего один сервер - одна роль. СА - точно отдельно; IIS - точно отдельно; TS - точно отдельно; DC+DNS+DHCP+NAP - можно на одном совмещать и лучше больше ничего на DC не ставить.

Не надо "клонировать" пользователя administrator, что бы это не значило. Создавайте новую учётку под каждого пользователя и добавляйте ее в нужные вам группы доступа.

Обновляйтесь через SPP

У датацентров бывает услуга ip-kvm. Конечно лучше заранее подготовить сервер перед отправкой.

Собственно, всё что нужно - сделали. Что не работает? Единственное, фаервол на винде по умолчанию может не разрешать доступ с айпишников из интернета.

Есть ещё такая штука как restricted groups

Можно ссылку разместить где то в каталогах доступных пользователю. Но лучше не допускать появления прав для конкретных пользователей к конкретным файлам - потом такая лапша из прав доступа получается, со временем.

man mount.ntfs

Backup/restore хоть встроенными средствами, хоть сторонними.

если одновременно будут работать 5-6 человек

Однозначно терминальный сервер. А сам RDP лучше завернуть в VPN или хотябы RD-Gateway и не открывать его на весь интернет.

Наших органов скорее будут интересовать документы на приобретение этих лицензий (акты, счёт-фактуры и пр.)

Это максимум на что способен диск

Структурное дерево каталогов должно быть в RO. В корне только структурные каталоги. На них и навешиваем права через группы.

Скриптик, который из ексель таблицы забирает права на папки и применяет их на файловом сервере

Возможна ли на него установка роли Hyper-V Server?

Поддерживается

Установить:

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools

или

dism /Online /Enable-Feature /FeatureName:Microsoft-Hyper-V /All

Вложенная виртуализация работает начиная с WS2016