С учетом размера сети и ее особенностей (школа), большой нагрузки на КД быть не должно, можно взять два простых системника, по минимальным требованиям под Windows Server.
Несмотря на то, что для домена достаточно одного контроллера, КД крайне желательно два, с двумя КД можно даже брать системники без RAID, отказал - да и шут с ним, купили новый диск, подняли новый КД, это проще, быстрее и безопаснее. Потому как USN Rollback для начинающего - это из разряда низкопробного фильма ужасов.
На КД поднимаем "джентльменский набор" - AD + DNS + DHCP, начиная с 2012 сервера DHCP поддерживает конфигурации высокой доступности.
Если совмещаем КД еще с кем-то, то обязательно покупаем еще один диск (пару в RAID), потому как КД отключает кеширование записи диска для того физического диска, на котором расположен каталог. Как уже сказали - было бы неплохо поднять еще WSUS.
А так - надо брать и делать. Я бы начал с AD как точки общей авторизации в сети, т.е. просто поднял бы каталог и настроил учетные записи на ПК, проверил бы SSO (общая точка авторизации, один раз вошли в систему и ходим везде), настроил бы права. Затем плавно перешел бы к GPO. А там война план покажет.
Как говорится - дорогу осилит идущий.