nApoBo3

Уровень лога info не достаточен в данном случае, нужен debug.
Но предположу, что перегружен канал из-за этого падает туннель.
Делайте qos и посмотрите, что у вас так аплодит, не исключено, что кто-то в офисе или стримит, или "торрентит".

Самое очевидный, остаться разработчиком, можно переключаться по стэку, освоить смежные вещи( full stack ). На данный момент потолок по ЗП у разработчика практически отсутствует, если вам это нравится и это у вас идёт, вы сохраняете способность к обучению, оставайтесь разработчиком.

Рекомендованная модель назначения прав AGDLP.
Доступ дают локальной группе( одна группа один ресурс доступа с одной моделью прав ), в нее включают глобальную группу, в нее пользователя.
Предложенная вами древовидная структура решения крайне неудачное.
Да, и это не групповые политики.

QOS это система которая решает какой трафик дропнуть и того который в нее уже пришел.
LimitAT, это не у тебя будет 10мбит, это если для тебя прилетит 10Мбит мы их точно пропустим.
Чтобы ограниченно управлять вашей скоростью, вы сначала должны сделать ее несколько меньше лимита входящего соединения, иначе у вас просто столько трафика не приходит, чтобы его дропать.

1. Интернет и мост между собой никак не связаны.
2. На мост можно повесить несколько разных адресов в разных подсетях, но при это не будет l2 изоляции.
3. В одном l2 сегменте можно выдавать ip из разных подсетей с помощью резервирования.

DHCP работает в пределах L2 домена. Его необходимо вынести в отдельный L2 домен, или физически или с помощью vlan.

WSUS достаточно прожорливый продукт.
1. Только отдельная база, желательно на отдельном сервере.
2. Управление не через RDP, а отдельной консолью на отдельной машине.
3. Дать WSUS серверу по больше памяти, хотя бы 8Гб.
4. База WSUS на SSD.

Ну и главная мысль, да, периодически у microsoft появляются проблемные обновления. Но реальный процесс работы с WSUS достаточно затратен по человеческим ресурсам. Обычно все скатывается к тому, что администраторы пачками раз в месяц, а иногда и раз в полгода, апрувят все обновления без разбора. Итог, вопрос проблемного обновления так же остается вопросом везения. Ну а вопрос интернет каналов на данный момент не слишком актуален для большей части организации( есть много организации у которых этот вопрос все еще актуален, но это отдельная и большая тема, WSUS часто не отделаться если у вас 200 машин на 2Мбит канале ).
По этому для большей части организаций, где нет под это отдельной роли, наверно машин до 300, развертывание WSUS не имеет смысла поскольку необходимые для его работы практики для организации слишком затратные и не встраиваются в ее непрерывный бизнес процесс.

Влкючить аудит на папке и анализировать записи в логе, на powershell это достаточно просто.

Замените телефоны на ip, стык аналога и ip в телефонии самое проблемное место.

Нужна лицензия на сервер + CAL по количеству лицензируемых пользователей или рабочих мест.
На сервере лицензируются минимум 16 ядер. Одна лицензия( стандарт ) покрывает две виртуальные машины в пределах одного физического сервера( + еще одна машина исключительно для управления ).

Если у вас есть цель, она достижима, вы знаете как ее достигнуть и имеет реализуемый план ее достижения, она достижима в обозримой перспективе и ее достижение позволит вам не зависеть от оценки вашего образования обществом, при этом единственное что вас отделяет от это цели нехватка времени которое у вас съедает школа, то никуда не поступайте. Образование сможете потом нагнать.

Но все, что описано выше, это такое редкое исключение, что находится на уровне мифологии.

Поэтому идите в 11 класс.
Т.е. кто видят свою цель и достаточно пробивные, чтобы достичь ее не смотря на противодействие общества советов на тосторе по ее поводу не спрашивают.

Обычно это серверные ИБП( APC точно так умеет, другие скорее всего ). Реализуется через прерывание подачи питания в случае его включения. Т.е. сначала ИБП выключает сервер через установленный софт, в bios ставиться при возобновлении питания включить, потом при возобновлении питания ИБП коротко временно прекращает питать сервер, BIOS сервера воспринимает это как питание возобновилось и включает его.
В качестве альтернативы можно использовать wakeonlan и внешнюю железку для мониторинга наличия напряжения в розетке.

1. Переобжать. Проблемы с витой парой не обязательно будут проявляться в потере пакетов, может быть и так линк ап линк даун.
2. У mikrotik нет как такового wan порта, эту роль может выполнять любой порт. Попробовать на другом порту.

Потому, что есть "тыкеры", которые запомнили несколько кнопок. А есть специалисты которые знают, что в системе происходят и понимают какие должны быть кнопки.
Первые, шаг в лево шаг в право и все приехали, в разработке это "стэк оверфлоу разработчки", в эксплуатации "эникейщики".
Нужны и те и другие, но это несколько разного уровня вакансии. Для того, чтобы быстро отделить первых от вторых хорошо подходят теоретические вопросы.
Задавая чисто практические вопросы, вы можете попасть в "навыки" не специалиста и принять его за специалиста, аналогично, вы можете промахнуться мимо того, что специалист настраивал в последнее время и он вам на расположение кнопочек ответ дать не сможет.

802.1x, остальное обходится без существенных сложностей. Но внедрение 802.1x в сети задача не тривиальная.

Если вы в РФ, то по закону вы обязаны идентифицировать всех ваших абонентов. Для организации гостевой сети проще всего обратиться к оператору связи, они предоставляют услугу под ключ, что позволят выполнить требования закона.

Папки создаются не по отделам, а по функциям-ролям.
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами

Папки собираются и монтируются пользователям с помощью DFS.

Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).

Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).