Чтобы прекратить споры про то, какой функционал AD есть в SAMBA, то вот
статья на хабре про основные ограничения.
LAPS, равно как и Bitlocker, вполне могут жить и без AD.
Поэтому SAMBA подходит для простой центральной авторизации и аутентификации без излишеств с одним сервером в роли КД. Как только появляется необходимость завести второй КД или ещё что-то, что Вин AD умеет, то нужно делать выбор в сторону напильника или покупки Windows Server.