pindschik

Кроме атаки с перебором паролей с одного IP, еще есть распределенные атаки с разных IP, и атаки на перебор логинов (совмещенные с распределенными атаками).
Закрывать по IP особого смысла нет.
Если ограничите количество логинов - при активной атаке ваши пользователи тоже не смогут подключаться.

Если еще нету - привяжите на терминал двухфакторную авторизацию (например бесплатный MultiOTP)

Просто в АСУС работают и инженеры и маркетологи.
Инженер предложил поставить кеширующий диск, чтоб ускорить HDD.
Маркетолог предложил заменить HDD на SSD.
Оба предложения приняли... :)
Рекомендую не пользоваться Optane, т.к. есть шанс, что он распаян на материнке. И в случае выхода из стоя - он, будучи неотключаем, подкинет много забавных вещей.

Не забывайте, что для домена еще нужны лицензии на серверы и клиентские лицензии на рабочие места...

А вы точно смотрите в разделе "Конфигурация пользователя"?

Ненене, всё не так.
1) Думаешь головой и планируешь безопасность.
2) Создаешь подразделения в AD исходя из того, что надумал, например: серверы, рабочие места пользователей, серверы терминалов.
3) Например для подразделения "рабочие места" в групповых политиках наделяешь админскими правами группу "Локальные админы". Или вообще только одну учетку "Инсталл01".
4) Для этой же учетки в группе "рабочие места" запрещаешь доступ по сети (а то или наодминят, или червь зашифрует все компы).
5) Добавляешь в группу "Локальные админы" нужных пользователей. Или всех.

Итог - кому положено - админы на своих компах. Но не на терминалах. И не в домене.

Не путай - местоположение компьютера и местоположение пользователя - это разные вещи.
Админские (права) и железячные настройки назначаются компу. Пользовательские - к пользователям.

В вашей схеме целом каждый следующий роутер не знает о существовании остальных. Т.е он получает для себя адрес СВЫШЕ, а клиентам раздает сам.
НО. Если вы настраиваете схему Mesh, то там "главный" - "рулит" остальными независимо, как они подключены, хоть по wifi. И соответственно он отвечает за выдачу IP из единого пространства, и переключение беспроводных клиентов между роутерами (wifi-роуминг).
Не все роутеры так умеют.

Немного сумбурно объясняете, но у меня есть подозрение, что пробрасывая порт на роутере, вы пробросили не с того интерфейса. На пример на кинетиках - указывайте внешний IP, как входящий адрес.
Т.е. ваш путь верный, только есть нюанс в настройках проброса.
Это первое.
А второе - сразу имейте в виду, что ваш удаленный сотрудник непременно сохранит пароль подключения. А потом его сворует запущенный им же троян. И к вам придет криптовымогатель.
Поэтому или VPN, или(и) двухфакторная авторизация (логин/пароль + одноразовый ПИН). Двухфакторка делается бесплатно и несложно. Например раскурите MultiOTP.

С виртуализацией контроллеров доменов есть только одна рекомендация - хотя бы один из них держать в "железе". Но это на самом деле очень необязательно.
Еще надо не забывать про время в домене и время на гипервизоре. Чтоб не получалось, что гипервизор закидывает контроллеру домена свое неправильное время через службы интеграции.
А в вашем случае скорее всего слетела сетевуха, зайдите и настройте новую, так же, как была старая.

Очень хорошо, когда у разных уровней привилегий админов есть разные учетки и их права не пересекаются (на высшем уровне администрирования). Если одна компрометируется - остальные остаются. Если админ всюду будет ходить с одной учеткой - то однажды он ее где-то сольет.
Пользователям - да, выделяйте локальных админов. И я б еще порекомендовал локальным админам закрыть сетевой вход на рабочие станции. Иначе однажды словите червя, который заразит от одного админа всю сеть.

1С, антивирус и т.п. - это однозначно пользователь и его учетка, а вот внутренние межсерверные дела, например между серверами 1С и SQL - там отдельная своя, может даже и с доменом не связанная. И вообще следует танцевать в таких продуктах от их специфических рекомендаций по безопасности. Зачастую и админская учетка для взаимодействия разных служб не требуется, когда грамотно настроено.

Вообще поставьте себя на место злоумышленника, который купил в сети базу скомпрометированных фишингом и троянами учеток вашей организации, ПО для криптовымогания и эксплойты против антивирусов. Вот представьте, что он теперь может войти по удаленке, а как войдет - воспользуется еще одним инструментом - головным мозгом. Осмотрится и сделает всё правильно, чтоб у вас потом подгорало и иного выхода, как платить выкуп - не было.
Думайте, отталкиваясь от подобной парадигмы. Сильные стороны и недостатки ваших решений в свете такого подхода - сразу намного понятней. Сразу видны настоящие цели и задачи...

Ну и в конце концов - AD ведь предоставляет любую нужную степень абстрагирования прав. Где-то надо поименно пользователей прописывать в доступе, а где -то применять несколько вложенных групп.

Основная проблема - это тертые калачи и кремень-люди. Они привыкли только так, только на рабочем столе и только лазить по всем компам. Но таких процентов 10 обычно, не более.
Начните с миграции основной, однотипной и молодой массы пользователей. Остальных будете переводить уже позже, не спеша, с трудом - но без революций, с каждым отдельно разбираясь с нагромождениями древних особенностей (типа 10 тендерных площадок, с которыми работают, но потеряны пароли, с древними плагинами к программам 2001 года, с почтой в The Bat и т.п. трудностями). Успокаивайте их, объясняйте, что врага среди вас тут нет. Часто это удобно совместить с заменой ПК на новый и быстрый.
Когда основной костяк коллектива вольётся в новую инфраструктуру и поймет, что так действительно стало лучше, привыкнет вводить пароли сетевые - моральная поддержка ветеранов рухнет. На их проблемы - вы будете вздыхать - и говорить - вот видите - все уже перешли и там всё ок, а вы цепляетесь за старое...
Вода камень точит. :)

Самые главные навыки сисадмина:
- Уметь общаться с людьми (а то часто отрастает поролоновая корона и царапает потолок). Не забывайте, что это ВЫ для них, а не наоборот, ну а ОНИ в свою очередь - для исполнения задач организации.
- Не быть ленивым (тут в умеренной степени - зад со стула должен подниматься без помощи домкрата, но должна преобладать здравая тяга работе по облегчению своих задач с помощью оптимизации труда, автоматизации, написания скриптов и т.п.).
- Пользование головным мозгом и обучение (есть люди по которым видно, шевелить извилинами им нестерпимо и НЕПРИЕМЛИМО, они всячески избегают этого, хотя и могут).
- Построение таблицы приоритетов (например: безопасность данных от уничтожения, надежность функционирования рабочих процессов, скорость восстановления работы при инцидентах и т.д.)

Дальше не бойтесь - при наличии порядка в голове - разберетесь и научитесь.

Еще (отдельная тема) есть дедубликация данных. На офисном хламе дает от 50 до 80% экономии занятого места.

1) Отключить быструю загрузку
2) Флешку сделать в FAT32 с образом, загружающимся в Legacy (BIOS) режиме, а не UEFI. UEFI на компе 2009 года не может быть. Используйте Rufus для ее подготовки.
3) Попробовать запуск с выбором загрузочного устройства через горячую клавишу (у кого как, возможно F8 или F12).
4) Убедиться, что платформа подходящая (образ х64 и платформа поддерживает х64).

Решайте задачу в обратную сторону. Подключайтесь в белому IP вашего VPS, и задним ходом получите доступ в локалку.
Только сперва убедитесь - не режет ли провайдер такие подключения. VPN - обычно это отдельная услуга и вам ее не дадут.

Нужна абстракция на уровне групп доступа. Например в структурном подразделении сотрудники входят в одну группу, а несколько групп таких подразделений входят в другую группу - которая имеет право печати на конкретном принтере.
Разворачивая доступ к принтерам - вам нужно заранее для него создавать только одну группу доступа и только ее добавить в права на печать. Дальше только жонглируете работниками и группами, к самому принтеру и правам больше не лезете.
Боюсь, что первый раз надо будет настроить все 100 принтеров вручную.
Но вообще такого рода проблемы - обычно преодолеваются переходом на МФУ более дорого класса. Ставится 2-3 штуки на этаже и все ходят к ним. Сначала правда стонут "ох как тяжело поднимать зад со стула, домкраты-то не выдали", но потом привыкают. Такой подход обычно выгоднее, т.к. дорогие большие МФУ дают экономию в цене отпечатка.

Неправильно составленные вопросы.
Начните с анализа задач, а не с выбора оборудования.
1) Гугл. И виртуализация. Пробуйте, думайте учитесь пока на это есть время. Вообще даже на этом ресурсе поискать - развернутый ответ на вопрос встречается часто. Лень искать - значит AD не для вас.
2) Мощность серверов следует рассчитывать не для AD, а для задач. Сам по себе AD по требованиям ниже плинтуса. А вот круга задач - судя по всему вы пока не понимаете. Ошибка в оценке потом может очень дорого стоить.
3) От одного до 120 серверов. И еще 120 роутеров с IPSec. Какой вопрос, такой ответ.
4) Решаемо. Здесь проблема не в том, как логиниться, а как обеспечить безопасность. Тут пишут про VPN - но только один из путей и не самый идеальный.
5) Этот вопрос и надо обдумать, возможно с руководителем. И никто для вашей специфики идеального решения волшебным образом не назовет.

Еще пара советов - если будете приглашать специалиста на развертывание - будьте потом готовы понимать сделанное им, развивать и поддерживать самостоятельного. Иначе все загнется.
Если остаются темные пятна в понимании - не начинайте работать на живую. Продолжайте эксперименты в виртуализации.

В 94-м году я ходил месяц в вузе на открытые лекции по основам Интернета - одного идейного преподавателя. И узнал достаточно про Интернет, о котором тогда еще почти никто не слышал и тем более - не видел, не говоря уж о понимании работы. Это все, что я оттуда вынес ценного по свой специфике... Когда впервые сел за комп подключенный к сети - не терял ценного времени на изучение, ибо уже знал всё, что нужно.

Давайте представим себе: вы просто Прометей и горите ИДЕЕЙ. Вы найдете идеальный ВУЗ, и там будут Преподаватели от Бога, которые параллельно работают в нужной отрасли на острие прогресса, и дадут вам весь ультрасовременный багаж знаний по всем нюансам профессии. Потом вы легко найдете работу своей мечты в какой-нибудь очень крупной и модной организации, будете там строить грамотную защиту данных. Но поработав - поймете:
На такой работе и с такими требованиями к кандидатам - в вас скорее всего не станут вкладываться на дальнейшее развитие. Развитие мешает текущей работе. А в IT - лет 5 - и ваши знания можно умножать на ноль.
В большой и серьезной организации - накал пятой точки опоры, поиски правды, требования новых подходов, новых структур, нового оборудования и ПО - это все встретит вал сопротивления на всех уровнях. КПД работы будет в лучшем случае 10%. Будет куча поручений не по профилю - которые вы будете делать только потому, что дураки вокруг с ними не могу справиться. Будут идиотские приказы от молодого, амбициозного и эффективного руководителя, с курсами МBА, который нихрена не понимает в работе, но всех умнее. И будете беспрекословно работать по ЕГО заданиям, будете видеть заранее тупик и проблемы в его распоряжениях, и постоянно все расхлебывать и переделывать, и всегда будете виноваты в его ошибках. Вечный дедлайн. А то и вовсе попрут, как слишком умного и неусидчивого.
Рассматривать ВУЗ можно только как трамплин, но с трамплина можно удачно запрыгнуть в болото. Такой путь хорош для тех, кто неспособен к самообучению. Выучился, устроился, нахватал "баллов", добился повышения ЗП и выдохся. Всё, потом сиди ровно на теплом месте до самой пенсии. Для кого-то вполне себе вариант, отметать нельзя.
С другой стороны, человек заинтересованный, способный к анализу, к саморазвитию, и у которого от работы остается свободное время и главное силы и желание, чтоб мыслить - ему трамплин не нужен. Да, старт будет чуть хуже, но и через 5 лет его профильные знания будут на нужном уровне. Сфера IT всегда очень быстро меняется, ей нужно жить, за ней нужно следовать. Постоянно учиться.

1) Создайте загрузочную флешку, например с AdminPE и забекапте весь системный диск. Например в Image For Windows. Целиком.
2) Ставьте на него винду, с удалением разделов, вчистую. До момента рабочего стола. Больше не нужно.
3) Снова верните свою старую винду из бэкапа, но только диск С: - перепишите своим старым - свежий. Только один раздел.