AntHTML

В зависимости от настроек GPO.
Если разрешено кэширование паролей, то при недоступности КД может пустить на сервак с новым кэшированным паролем
Если КД развернулся - то может синхронизировать с него старый.
В общем одно из двух.

PS. Контроллеров должно быть минимум 2 и бэкапить их нужно через день, чтобы избежать таких косяков с рассыпанием домена - развернули копию - синхронизировали со вторым, а потом уже работаем.

Так и нужно делать
Хотя я бы лучше назвал regionname.dc.company.ru. чтобы лес был dc.company.ru
А еще лучше - просто бросил VPN между филиалами, а он 100% уже есть, поставил 2 местных DC и создал ОU филиала в основном домене. Чтобы у командировочных небыло проблем при работе с филиалами.

на каждой рабочей станцией в день могут работать до 14 человек.
А не проще ли всех перегнать на терминальный сервер и с компов цепляться по RDP, а не ждать пока профили переместятся и применятся?
Смотря что за работа там такая что 25 чел на одном компе в малой орге?

На одном только компе или на нескольких и одним только юзером или нескольких?
Как вариант: Загрузиться под локальным админом, полностью вычистить папки и реестр глючного профиля, потом зайти под ним чтобы все заново создалось. Пару раз сталкивался с подобными глюками и это помогало.

0. А какова конечная цель использования AD? Так-то 25 ПК для домена крайне мало, по мне о домене стоит задумываться когда 75, ну или хотя-бы 50+ ПК, иначе это сильное усложнение инфроструктуры.
1. Сейчас наверное лучше уже на виртуалках, новые винды в них лучше живут, раньше во времена нетребовательных 2003/2008 КД ставили на надежный старый комп, 2019 такой финт не поймет.
2. Очень желательно 2+, но скрипя зубами, на таком парке можно обойтись и одним. Также желательно на КД больше никаких ролей не ставить. (Хотя в сетях 35 ПК встречал серваки "все в одном" AD+SMB+1C+SQL)
3. Лучше перенастроить, это не большая проблема
4. Все зависит от настроек групповых политик, можно разрешить логин без синхронизации с КД, а можно запретить. Но на практике, иногда компы не синхронизируются и пару дней могут входить без обновления билета, но в kerberos шары их тогда не пускает
5. DHCP - где угодно, DNS - желательно на КД, но не обязательно. Главное условие, чтобы DNS знал где находится КД и как можно быстрее эту информацию отдавал. Отсюда очень желательное условие - даже при раздаче IP по DHCP на компах адреса DNS забивать статикой
6. Все зависит от настроек доступа к папкам: можно оставить как есть, можно перевести на авторизацию по домену.

1. 2 одинаковых железки под server core в Hyper-v HA кластер.
2. Какой общий сторадж к ним по 10G, от того же qnap/synology или самосбор на верверной платформе
3. Аналогичный сторадж у себя для бэкапов
Ну а дальше получаете 4 лицензии по winsrv и сколь угодно под лини.

PS: Бюджетная организация ))) Если начальство не соглашается на проект от интегратора, то и Вам денег выделят максимум на пару i5/ryzen, а не на норм серверное оборудование. Притом что это все еще нужно будет пропихнуть через госзакупки в нынешней то ситуации.

Первичный контроллер домена ВСЕГДА должен быть только на реальной машине, без сопутствующих задач. Хоть целерон, хоть атом, хоть еще какой баребон или древность
Вторичные могут быть виртуальными.
В случае костыля с виртуальным первичным контроллером - его хост НИКОГДА не должен вводится в его домен. Иначе легко отстрелить себе ноги

Все зависит от того как принято и как организована работа в организации
Может быть достаточно просто сменить пароли к онлайнсервисам
Может требоваться полное перекроилово всех учеток
В Общем в энтерпрайзе этим обычно заправляют безопасники, в конторах поменьше сами админы с руководством решают и оценивают возможности и перспективы, а то устраивать полный гемор с переустройством всех учеток, когда все закрыто файрволами, а юзер даже не знает пароля от TheBat/Exchange бывает "из пушки по воробъям"

Сделано двумя сетевыми дисками. Один правами доступен только внутри отдела, второй по всей конторе.
Квоты не настраивал, периодически прохожусь по папкам маской *.mp3; *.avi; *.mkv и тд.
Юзерам розданы бумажки, что админы не отвечают за файлы на диске С, мудоках и рабстоле
Также там прописано, что если админ на сетевой шаре нарвется на фотоархив или прочую ***нуху, он ее грохает без предупреждения.
На диск Д мне пофиг - он не учавствует в бэкапах, правда новые компы беру только с ssd 120гб, так что там сильно не разгуляеешься.
На серваке еженочно акрониксом снимаются два образа диска с шарами, один ложится на соседний логический, для "вдруг че удалили", второй на соседний физический для "веник издох", раз в 3 дня образ отправляется на другой сервак для "пущей уверенности".

А параметры страницы у формы в скрипте прописаны? А то он по умолчанию может думать что там большой лист, а открытие/закрытие "Параметры страницы" вызывает применение галочки "По ширине страницы".