CityCat4

Вы хотите научиться водить автомобиль, не садясь за руль, а только играя в "За рулем"? Ну так научитесь управлять игрушкой, а к реальному опыту реального вождения это не будет иметь никакого отношения.

У пользователя в свойствах туева хуча атрибутов, но все равно они отображаться например в оснастках не будут - не предусмотрено.

Извините, но это не по Хуану сомбреро будет :) Такая задача даже для человека с солидным опытом работы с линухом - непростая, несмотртя на то, что он представляет, как это все будет работать. А Вы просто сломаете все и ничего собрать не сможете.
Япония - не Европа (когда я начал перевод Princess Evangile - я это несколько раз написал), Линух - НЕ винда. Тут все по-другому, тут идеология другая. Да, все можно сделать, особенно если у вас обычная продаванская контора, где нет забубенного инженерно-конструкторского софта (как у нас). Но для этого требуются твердые, четкие знания - как это работает.

Окей гугл
dhcp relay на windows server.

ADFS обязан быть отдельно, более того, потребуется еще отдельно ADFS Proxy.
AD вполне совместим с CA - служба CA дает небольшую нагрузку. DNS лучше держать там же, где и AD - два AD, два DNS.
DHCP - в зависимости от того, чем привыкли управлять. На винде DHCP со свистелками и пукалками, на микротике скажем попроще, на линухе совсем брутальный текстовый конфиг :D
RDP, то есть TS обычно держат отдельно.

Включить на точке доступа белый список маков, ноуты в него занести, остальные получат болт. А управление сервером - в зависимости от того, как у Вас выход в тырнет сделан, ничего ж не сказали.

Стоило наверное немного подумать головой, прежде чем задавать такой вопрос.

Групповая политика - это некое действие, выполняемое в некий момент. Вот например, GPO по установке корпоративного сертификата в корневые юзерского профиля. Она прекрасно работает на винде. Внимание, вопрос - куда она должна копировать сертификаты в линухе? ХЗ. Потому что даже если получить точку хранения сертификатов из свойств openssl - то банально может прав не хватить - в винде-то GPO выполняется с приоритетом системы :)
Или вот напримепр политика настройки настроек прокси :) которая всем юзерм выставляет одинаковые настройки прокси - куда она должна их выставить?
Здесь нужно садиться, брать список GPO и думать - нужно ли это вообще и если нужно - как это сделать.

В сертификате "Калуга астрал" видимо указан OCSP - сервис для онлайн-проверки статуса сертификатов. Пока данный сервис не будет онлайн/доступен, этим сертификатом ничего нельзя будет подписать, потому что он не может проверить статус отзыва.
Загрузка CRL на компьютер ничего не решает - должен работать именно онлайн проверятор.

Доступ к wifi - по макам и будет Щастье.

Надо же, кто-то еще использует сдохшие продукты атлассиана...

У Confluence обалденная встроенная авторизация. Насоздавать внутренних юзеров и пускать по логину-паролю. Внешнюю авторизацию можно прикрутить только если пускать через какой-то промежуточный сайт - потому что Confluence на томкате работает - он сам себе сервер.
Но лучше всего конечно же пускать через vpn

Если у других хостов такая же маска - без проблем. Адресат достижим локально, на получи.

AD - это совсем не простая в освоении.

Существуют всего две ветки развития:
- samba и проекты, накрученные вокруг нее (Zentyal etc.)
- IPA и проекты, накрученные вокруг нее.

Samba представляет собой "Windows сервер без Windows" и рулится виндовыми оснастками. IPA - продукт совершенно отдельный, мне незнакомый, знаю только что есть