Управление установкой программ (и обновлений) в доменной сети.

Возникла необходимость задуматся о переорганизации работы IT отдела для правильного и стандартизированого обслуживания 150 компов (5% прироста в год и темпы роста растут).

Как есть сейчас:
У нас есть два отделения: центральный офис и фабрика. 25 и 125 компов соответственно. Сейчас работаем так: закупаем компы одной модели, под учеткой админа ручками устанавливаем софт (иногда и с подменой файлов, по-другому работать не хочет), вводим ключи, настраиваем систему под собственные решения и делаем образ системы с помощью Ghost-а. Затем применяем образ на другом компе, а там уже заходим под логином юзера и настраиваем интернет эксплорер, принтеры, меняем имя компа, ручками с сервера переносим некоторые ярлыки. Доустанавливаем софт. Заходим в папку пользователя, и переназначаем там все на диск D (папку рабочего стола, загрузок, моих документов и так далее). Затем подключаемся к компу жертвы, переносим содержимое диска D, идем на диск С и копируем переносим папки Outlook-а (где хранятся письма и подписи)...

Минусы:
Любая доустановка софта, изменение версии, появление нового принтера и даже нового опасного вируса (спасибо Wannacry *сарказм*) заставляют нас бегать и делать все ручками на каждом компе, ну или использовать удаленное подключение "one by one".
Так же мы восдерживаемся от внедрения нового софта или внесения изменений в наши внутренние решения.

Что надо:
Нужно решится и организовать все так, что бы (в идеале):
1) Софт можно было устанавливать и обновлять удаленно в соответствии с потребностями отдела или должности человека.
2) удаленной установкой принтеров. В каждом отделе свои потребности. Есть как сетевые, так и подключенные к определенному компу и расшареные
3) развертывание виндоуса, смена имени компа и возможность залогинится под определенную учетную запись (Не обязательно, но упростить процесс замены компа)
4) возможность устанавливать обновления Windows, Office и видеть что где обновлено. Сейчас часть компов самостоятельно обновляется, но не все. Просто хочется убедится что в случае критических обновлений безопасности мы сможем оперативно обновить те компы, которые сами не обновляются и те, которые еще не успели.

Суть этого всего:
Я совсем новичек, стажер, но хочу взялся за организацию всего этого дела. Мой босс согласен, мне просто нужно Взять это дело на себя, подготовил варианты возможных решений и то на что придется пойти. А дальше уж будем смотреть стоит ли оно того в наших реалиядлях. В отделе всего 4 человека, Очень важно что бы выбранное решение упростило работу, а не стало основной работой.
Залез в инет, а там столько всего: RIS, IDEAL Administrator, AD, Автоматическое и полуавтоматическое массовое развертывание, SCCM, SCOM, Group Policy, MOF, WSUS, перепаковка exe в msi...
Я этого еще в глаза не видел, потому просто чтение всего этого по частям как-то не способствует получению целосной картины и понимания.

Может кто-то помочь либо с подбором ссылок/литературы для получения целосной картины и выбора возможных вариантов или просто скажите, основываясь на вашем опыте, как в данном случае это стоит организовать и что для этого нужно?