1. Как сейчас? Написал в первом посте.
ИМХО контроллер домена (или файловый сервер) должен быть за роутером, внутри сети. Почтовик - в DMZ. Ставить все на одну машину как-то не гут. Могу ошибаться, конечно.
2. К сожалению, пока что "руками" - через ssh или, при наличии админки, через web. На всех машинах стоит nagios, "звоночки" по наиболее проблемным (критическим) местам сделал. Вообще, они не доставляют повода постоянно что-то делать. Например, вспомогательные серверы, типа конс+ или антивируса (DrWeb ES) вообще как настроил, так и все, обновляются сами, хотя там и обновляться-то нечему.
3. Насчет единого центра - наверное, можно, но только в "гомогенных структурах" - например, если все серверы примерно однотипные и работают под одной ОС, скажем, Centos 5.8 или 6.3. А у меня, к сожалению, есть и бубунта (Zentyal), а серверы разномастные.
Конкретные решения - вот, например -
https://puppetlabs.com/puppet/puppet-open-source/4. Насчет AD, если честно, отдельный разговор.
В сущности, изначально надо было лишь сделать пользователям домашние сетевые каталоги, плюс групповые и общие для всех. Но раз уж есть функционал AD, почему бы не. Централизованная установка софта пока не актуальна (посматриваю в сторону WPKG, но сейчас использую OCS Inventory), но вот руление групповыми политиками весьма кстати.
BTW, в Зентиал просто просится модуль WPKG.