pindschik

Очень хорошо, когда у разных уровней привилегий админов есть разные учетки и их права не пересекаются (на высшем уровне администрирования). Если одна компрометируется - остальные остаются. Если админ всюду будет ходить с одной учеткой - то однажды он ее где-то сольет.
Пользователям - да, выделяйте локальных админов. И я б еще порекомендовал локальным админам закрыть сетевой вход на рабочие станции. Иначе однажды словите червя, который заразит от одного админа всю сеть.

1С, антивирус и т.п. - это однозначно пользователь и его учетка, а вот внутренние межсерверные дела, например между серверами 1С и SQL - там отдельная своя, может даже и с доменом не связанная. И вообще следует танцевать в таких продуктах от их специфических рекомендаций по безопасности. Зачастую и админская учетка для взаимодействия разных служб не требуется, когда грамотно настроено.

Вообще поставьте себя на место злоумышленника, который купил в сети базу скомпрометированных фишингом и троянами учеток вашей организации, ПО для криптовымогания и эксплойты против антивирусов. Вот представьте, что он теперь может войти по удаленке, а как войдет - воспользуется еще одним инструментом - головным мозгом. Осмотрится и сделает всё правильно, чтоб у вас потом подгорало и иного выхода, как платить выкуп - не было.
Думайте, отталкиваясь от подобной парадигмы. Сильные стороны и недостатки ваших решений в свете такого подхода - сразу намного понятней. Сразу видны настоящие цели и задачи...

Ну и в конце концов - AD ведь предоставляет любую нужную степень абстрагирования прав. Где-то надо поименно пользователей прописывать в доступе, а где -то применять несколько вложенных групп.

Основная проблема - это тертые калачи и кремень-люди. Они привыкли только так, только на рабочем столе и только лазить по всем компам. Но таких процентов 10 обычно, не более.
Начните с миграции основной, однотипной и молодой массы пользователей. Остальных будете переводить уже позже, не спеша, с трудом - но без революций, с каждым отдельно разбираясь с нагромождениями древних особенностей (типа 10 тендерных площадок, с которыми работают, но потеряны пароли, с древними плагинами к программам 2001 года, с почтой в The Bat и т.п. трудностями). Успокаивайте их, объясняйте, что врага среди вас тут нет. Часто это удобно совместить с заменой ПК на новый и быстрый.
Когда основной костяк коллектива вольётся в новую инфраструктуру и поймет, что так действительно стало лучше, привыкнет вводить пароли сетевые - моральная поддержка ветеранов рухнет. На их проблемы - вы будете вздыхать - и говорить - вот видите - все уже перешли и там всё ок, а вы цепляетесь за старое...
Вода камень точит. :)

Отключите автоопределение подключения передних разъемов.
Если комп новый - то это Realtek Audio Console. Старое оборудование - там был свой Диспетчер Realtek HD.

Создайте свой IRC канал и заставьте серверы на нем отмечаться каждые, например 30 минут.
Тогда задача клиента - получить историю чата за 30 минут.

Самые главные навыки сисадмина:
- Уметь общаться с людьми (а то часто отрастает поролоновая корона и царапает потолок). Не забывайте, что это ВЫ для них, а не наоборот, ну а ОНИ в свою очередь - для исполнения задач организации.
- Не быть ленивым (тут в умеренной степени - зад со стула должен подниматься без помощи домкрата, но должна преобладать здравая тяга работе по облегчению своих задач с помощью оптимизации труда, автоматизации, написания скриптов и т.п.).
- Пользование головным мозгом и обучение (есть люди по которым видно, шевелить извилинами им нестерпимо и НЕПРИЕМЛИМО, они всячески избегают этого, хотя и могут).
- Построение таблицы приоритетов (например: безопасность данных от уничтожения, надежность функционирования рабочих процессов, скорость восстановления работы при инцидентах и т.д.)

Дальше не бойтесь - при наличии порядка в голове - разберетесь и научитесь.

Решить нужно несколько проблем:
1) Можно ли "взять" сотовый сигнал непосредственно у дома (например подняв антенну на крышу)?
В таком варианте можно сделать уличную антенну (или даже пару), и кинуть кабель до модема, воткнутого в роутер. Надо понимать - каждый метр кабеля ослабляет сигнал, поэтому 5 метров - предел.
Для этой схемы нужен роутер с USB (например keenetik viva, от 1000 р), модем с парой разъемов под антенну (от 1500 до 3500), кабель ХОРОШИЙ, антенна ХОРОШАЯ и немного паять.
2) Если нельзя - то придется получать интернет там, где вы его поймали.
тогда или переносим вариант 1 в точку 2 и молимся на погодные условия. Или покупаем внешнюю уличную точку доступа. Тот же микротик с параболической антенной, и записываем его через PoE по витой паре. Роутер дома.
Более 50 метров запитывать уже не стоит, но судя по описанию - это ваш случай.
3) На первую поездку купите симки нескольких операторов, которые условно ловят в том районе. И захватите карту расположения базовых станций.

З.Ы. Возможно стоит умерить пыл на счет безлимита. Иногда тарифы с трафиком обойдутся дешевле. Особенно если подключить безлимитные соцсети.

Сам реализовывал вариант 1, успешно дотянулся 4G до базовой станции в 12 км. Недавно после грозы - модем заглючил, попробую микротик. Если не горит - напишите тут. Сообщу результат.

Еще (отдельная тема) есть дедубликация данных. На офисном хламе дает от 50 до 80% экономии занятого места.

А я тоже брошу свой тапочек.. :)
Подобные проблемы очень хорошо объяснять на автомобилях:
Вот смотрите, был у вас МОПЕД, и была для него одна задача - ехать в соседний город. Допустим доезжали за 5 часов.
Потом появилась Тойота Камри, и путь стал занимать 2 часа.
Круто, думаете вы! Куплю-ка я 8 Тойот и буду теперь доезжать за 15 минут! А для многофункциональности - еще куплю 2 карьерных самосвала и 4 экскаватора! И вот вы беретесь за дело - и перегоняете эту всю технику в соседний город, уходит четверо суток (возвращаясь обратно на попутках). Странно, думаете вы, а ведь мопед был намного быстрее!

Пока не поймете, как КОНРЕТНО ВАША задача делится на несколько исполнителей, и делится ли она вообще (9 женщин не могут выносить одного ребенка за 1 месяц) - нечего ставить себе абстрактные цели...

Надо понимать, что стандартом такая схема не предусмотрена и работать так не должно. Однако.
Есть такая некрофиличecкая схема из 90-х годов: пассивный 3-х портовый хаб.

1) Отключить быструю загрузку
2) Флешку сделать в FAT32 с образом, загружающимся в Legacy (BIOS) режиме, а не UEFI. UEFI на компе 2009 года не может быть. Используйте Rufus для ее подготовки.
3) Попробовать запуск с выбором загрузочного устройства через горячую клавишу (у кого как, возможно F8 или F12).
4) Убедиться, что платформа подходящая (образ х64 и платформа поддерживает х64).

Этот вопрос периодически возникает на Хабре. Имеет бородатую историю.
В общем так ведет себя Ваш провайдер. И не все провайдеры так себя ведут.

1) Выбирайте что найдете подешевле, совместимое с материнкой. Реальной разницы между 4-х ядерниками не увидите.
2) 4 ядра дадут заметный прирост производительности при работе в браузере. При условии, что система на SSD и 8 оперативки.

Продумайте воздушные потоки, "дебет и кредит", продуваемость критичных мест, отсутствие застойных зон, установку самого ПК, так, чтоб горячий воздух не возвращался в корпус.
В мощном современном ПК (ну допустим домашнем игровом) даже с 1-м вентилятором на задней стенке может хватать продувки, чтоб перегрева не было. Правда выбор запчастей надо было начинать ПОСЛЕ обдумывания охлаждения, а не наоборот.
В моем случае стоит RTX с турбиной, плюс один 120 мм на выдув (не считая блока питания), и один внутри для обдува HDD. Всё тихо и прекрасно.

Решайте задачу в обратную сторону. Подключайтесь в белому IP вашего VPS, и задним ходом получите доступ в локалку.
Только сперва убедитесь - не режет ли провайдер такие подключения. VPN - обычно это отдельная услуга и вам ее не дадут.

1) Заземлить комп. Запитать колонки от отдельного не шумящего источника.
2) Купить колонки с нормальным питанием, не от USB. Соответствующие требованиям, предъявляемому к качеству звука.

Нужна абстракция на уровне групп доступа. Например в структурном подразделении сотрудники входят в одну группу, а несколько групп таких подразделений входят в другую группу - которая имеет право печати на конкретном принтере.
Разворачивая доступ к принтерам - вам нужно заранее для него создавать только одну группу доступа и только ее добавить в права на печать. Дальше только жонглируете работниками и группами, к самому принтеру и правам больше не лезете.
Боюсь, что первый раз надо будет настроить все 100 принтеров вручную.
Но вообще такого рода проблемы - обычно преодолеваются переходом на МФУ более дорого класса. Ставится 2-3 штуки на этаже и все ходят к ним. Сначала правда стонут "ох как тяжело поднимать зад со стула, домкраты-то не выдали", но потом привыкают. Такой подход обычно выгоднее, т.к. дорогие большие МФУ дают экономию в цене отпечатка.

Неправильно составленные вопросы.
Начните с анализа задач, а не с выбора оборудования.
1) Гугл. И виртуализация. Пробуйте, думайте учитесь пока на это есть время. Вообще даже на этом ресурсе поискать - развернутый ответ на вопрос встречается часто. Лень искать - значит AD не для вас.
2) Мощность серверов следует рассчитывать не для AD, а для задач. Сам по себе AD по требованиям ниже плинтуса. А вот круга задач - судя по всему вы пока не понимаете. Ошибка в оценке потом может очень дорого стоить.
3) От одного до 120 серверов. И еще 120 роутеров с IPSec. Какой вопрос, такой ответ.
4) Решаемо. Здесь проблема не в том, как логиниться, а как обеспечить безопасность. Тут пишут про VPN - но только один из путей и не самый идеальный.
5) Этот вопрос и надо обдумать, возможно с руководителем. И никто для вашей специфики идеального решения волшебным образом не назовет.

Еще пара советов - если будете приглашать специалиста на развертывание - будьте потом готовы понимать сделанное им, развивать и поддерживать самостоятельного. Иначе все загнется.
Если остаются темные пятна в понимании - не начинайте работать на живую. Продолжайте эксперименты в виртуализации.

В 94-м году я ходил месяц в вузе на открытые лекции по основам Интернета - одного идейного преподавателя. И узнал достаточно про Интернет, о котором тогда еще почти никто не слышал и тем более - не видел, не говоря уж о понимании работы. Это все, что я оттуда вынес ценного по свой специфике... Когда впервые сел за комп подключенный к сети - не терял ценного времени на изучение, ибо уже знал всё, что нужно.

Давайте представим себе: вы просто Прометей и горите ИДЕЕЙ. Вы найдете идеальный ВУЗ, и там будут Преподаватели от Бога, которые параллельно работают в нужной отрасли на острие прогресса, и дадут вам весь ультрасовременный багаж знаний по всем нюансам профессии. Потом вы легко найдете работу своей мечты в какой-нибудь очень крупной и модной организации, будете там строить грамотную защиту данных. Но поработав - поймете:
На такой работе и с такими требованиями к кандидатам - в вас скорее всего не станут вкладываться на дальнейшее развитие. Развитие мешает текущей работе. А в IT - лет 5 - и ваши знания можно умножать на ноль.
В большой и серьезной организации - накал пятой точки опоры, поиски правды, требования новых подходов, новых структур, нового оборудования и ПО - это все встретит вал сопротивления на всех уровнях. КПД работы будет в лучшем случае 10%. Будет куча поручений не по профилю - которые вы будете делать только потому, что дураки вокруг с ними не могу справиться. Будут идиотские приказы от молодого, амбициозного и эффективного руководителя, с курсами МBА, который нихрена не понимает в работе, но всех умнее. И будете беспрекословно работать по ЕГО заданиям, будете видеть заранее тупик и проблемы в его распоряжениях, и постоянно все расхлебывать и переделывать, и всегда будете виноваты в его ошибках. Вечный дедлайн. А то и вовсе попрут, как слишком умного и неусидчивого.
Рассматривать ВУЗ можно только как трамплин, но с трамплина можно удачно запрыгнуть в болото. Такой путь хорош для тех, кто неспособен к самообучению. Выучился, устроился, нахватал "баллов", добился повышения ЗП и выдохся. Всё, потом сиди ровно на теплом месте до самой пенсии. Для кого-то вполне себе вариант, отметать нельзя.
С другой стороны, человек заинтересованный, способный к анализу, к саморазвитию, и у которого от работы остается свободное время и главное силы и желание, чтоб мыслить - ему трамплин не нужен. Да, старт будет чуть хуже, но и через 5 лет его профильные знания будут на нужном уровне. Сфера IT всегда очень быстро меняется, ей нужно жить, за ней нужно следовать. Постоянно учиться.