Dukel

Ich würde das schon (auf dem RDS Host) via GPO lösen. Eine GPO für die Terminal Server mit Cache-Modus aus und optional eine GPO für die anderen Clients mit Cache-Modus an.

Wieso sollen die Vertrauensstellungen um die Ohren fliegen?

Via der SID: https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems

Ist die richtige Boot Reihenfolge konfiguriert? Bootet die ISO wirklich?

Die Hardware sollte das letzte sein, worüber man sich gedanken macht. Kosten zu sparen auch. Erstmal gescheit die Anforderungen (auch an die SLA) definieren, dann das Budget bestimmen und dann kann man sich die Technik und Hardware überlegen und den Gap zwischen Budget und Anforderungen nähern.

Spuckt Kaspersky auch Fehler aus?

Mit Copy&Paste meinte ich, dass es wohl als erstes einen Cop&Paste Fehler gab. Evtl. brauchst du $gruppe.sAMAccountName

Copy & Paste? $gruppe_user = Get-ADGroupMember $gruppen | Select sAMAccountName Gibts noch eine Fehlermeldung oder was geht nicht?

In einer Firma mit 1000 PCs hat man kein Speedport und man muss nicht wissen, welcher Client welche IP bekommen hat. Selbst bei Server ist das evtl. auch irrelevant. Dafür gibts DNS.

Wenn du IPv6 machen willst wirf den Speedport weg und nehmen einen anderen Router. Ich würde keinen Windows Server als Router nutzen.

Und deine Veeam Lizenz und Hardware für das Backup (Speicher)? Wo installierst du Veeam? Brauchst du evtl. einen weiteren Server / Lizenzen?

Für das Budget bekommst du dies nicht gemacht.

Entweder du lizenzierst nach User, dann brauchst du 5x Windows User Cal & 5x RDS User Cal oder du lizenzierst nach Device, dann brauchst du 5x Windows Device Cal & 5x RDS Device Cal

Nein. 5x Windows User oder Device Cal 5x RDS User oder Device Cal

Was ist eine Connect Lizenz? Cal heisst "Client Access License". D.h. ein Client (User oder Gerät) braucht eine Lizenz, wenn er auf einen Dienst zugreifen möchte. Ach ja. Du wirst sowohl Windows Cals als auch RDS Cals benötigen.