Локальные учётные записи не делаются, всё рулится централизованно через AD/LDAP. Если каким-то внешним подрядчикам нужен админский доступ к определённым хостам - им выдаётся сетевой доступ только к этим хостам и они добавляются в группу, дающую sudo только на этой группе хостов.
Локальные зеркала не делаются "определённых версий", и не выкачиваются целиком - это бессмысленно, т. к. PCI DSS, например, требует регулярного обновления пакетов. В каком-нибудь Нексусе настраивается проксирование официальных репозиториев с кэшированием пакетов - и вы получаете сразу все поддерживаемые версии и храните только те пакеты, которые используются.
Я каждый день в Алматы молюсь, чтобы хоть как-то работало - а вам без потерь пакетов и с нормальной картинкой подавай. Надеяться на стабильность пропускной способности между Казахстаном и Арменией, имхо, не стоит - особенно если трафик едет через РФ.
Что на конечных хостах - не так важно. Важны настройки на маршрутизаторе. Если новые устройства будут вне прописанного на старых хостах диапазона - просто трафик к ним поедет через шлюз, а не напрямую.
Проблема в разрешениях на каталог /usr/share/nginx/html/projects - они должны быть достаточны, чтобы веб-сервер мог получить список содержимого (обычно делают read + execute, например 0755).