Если интеграция с AD есть, то логичнее организовать доступ на уровне групп.
Элементарным скриптом на повершелле можно сделать вывод ресурсов, которые пользователю даны
ssh, rdp, samba, многие почтовые сервера, asterisk (SIP). squid proxy (скорость канала, доступ к группам сайтов) — интегрируется с AD, та же wiki, bitrix — тоже. Доступ к бухгалтерскому серверу — 1c + AD — влёт. vpn тоже интегрируется.
авторизация в mysql/postrgre, apache тоже прикручивается.
Разве что какие-то старые разработки или БД в dbf формате, да, доступ на уровне FS и тот можно ограничить.
Один скрипт на пару строк с параметром «имя пользователя» получает полный список доступа.
При правильной настройке системы такой доступ вообще может даваться автоматически по подтверждению тикета ответственным за доступ лицом, вообще без телодвижений.
Не считая того, что почта/учётка в AD может заводиться автоматом при принятии пользователя на работу и заведении сотрудника в 1C (с заполнением полей типа отдела/города/подразделения).
Год назад возникла схожая проблема, пришлось написать mini-IDM самому, взяв за основу Redmine.
Lite-версию плагина выложил на github: https://github.com/iymaltsev/access_tickets
В перспективе планирую добавить возможность предоставления доступа пользователям по завершении согласования задач через ansible/bash или LDAP