CityCat4

Здесь задача распадается на две части (ну, по крайней мере, я полностью одним заходом ее не решил)
Часть1 - в конторе ставится один большой микротик, который потащит на себе VPN. У него должен быть белый IP. Брать модель с аппаратным шифрованием типа RB1100AHx2 (если она уже устарела то брать то, что рекомендуют взамен)

- подключение к AD постоянно работающих мини-офисов. По микротику на офис и настроить постоянный VPN на IPSec - это даст постоянное подключение к сети офиса так, как если бы она находилась в соседней подсети.
- Линухи, планшеты на андроиде, продукция яббла - через IPSec в режиме roadwarrior. На сайте strongswan множество документации, микротик - это тоже линух и там стоит тоже либо шван либо более старый ракун, поэтому для настройки документация сгодится, ну и у микротика своя есть.

Часть 2
- винда - я пока не знаю, как ее цеплять на IPSec, но ее можно подключать на PPTP, пробросом на какой-нибудь виндовый сервер.

Пользователь приходит на работу и включает комп.
И комп у него бодренько так, полчаса скидывает документы - все это время юзер курит, пьет кофе, болтает с симпатичными коллегами противоположного полу... а работодатель за это время ему платит! (потому как не обеспечил его рабочими инструментами)
Пользватель уходит с работы и выходит из системы.
И комп у него бодренько так начинает сливать документы на сервак. И в это время авария на подстанции, пропало питание. Серверная-то на упсах, а вот юзерская тачка (даже и на упсе) не завершила синхронизацию. И все наработки за сутки юзера - пошли в /dev/null. А работодатель за это заплатит - потому что от юзера ничего не зависело - он-то честно работал!
Даже если работодатель потом получит возможность Вас приковать к рабочему месту и заставить работать 18 часов в день, кормя дошираком - его это не утешит...
Вы написали тут такой фееричный бред :) И это я еще не рассмотрел пропускную способность сети - при параллельной работе хотя бы трех-четырех человек она просто ляжет. А утром сеть нужна будет всем!

man sssd
man adcli

Вообще тема присоединения линуха к AD обсосана со всех сторон. Я знаю как минимум три способа сделать это :) Я использую sssd, могу конфигом поделиться.

Через оснастку "Пользователи и компьютеры"? Никак. AD ничего не знает о наличии или отстутствии на некотором сервере некоторых БД. Управление правами делается из студии - вот там можно доменный логин добавить.

Читайте о развертывании AD на самбе и о pam_ldap (или sssd с сервисом ldap). Все прочие статьи рассчитаны на AD на винде.

Ввел компьютер с убунту, в windows домен

Каким образом? Самба, pam_ldap, sssd? Все известные мне способы не требуют при логине указывать доменный хвост, система просто переключается на разные источники при поиске юзера.

Например:
# id testonlytt
uid=233819(testonlytt) gid=200513(domain users) groups=200513(domain users),235126(accessextended),201164(vpn users),235697(newproxy)

# getent passwd testonlytt
testonlytt:*:233819:200513:Просто Тест Тестович:/usr/share/smbusers/testonlytt:/bin/sh

testonlytt - доменный юзер, из AD

Зачем?

У обычного доменного юзера нет ничего такого, что бы он мог скрыть от админа этим паролем. А настройки программ в его профиле все равно нужно делать при его присутствии.

Ээээ... beg your pardon, captain? Что значит "ввести пользователя"? Пользователя (обьект типа User) можно создать. В AD можно "ввести" компьютер - создать с ним доверительные отношения (что приведет к созданию обьекта типа Computer).
Внутренняя механика описана в специализированной литературе. Основы работы AD можно изучить по любому описанию LDAP, потому что по сути - AD есть LDAP с несколько своеобразной схемой.

Можно. Но не нужно. И ssh на нем не нужен, и cygwin (он очевидно поставлен для того, чтобы ssh работал). Попытка админить винду линуховыми методами (равно как и наоборот) обычно дает фигню в качестве результата.
Категорически поддерживаю Сергей Сашкин

DNS - обязательно, DHCP - по желанию
Главное - понимание, зачем это надо и как оно работает. Откуда его взять? Литературу почитать тематическую.

Их не так уж и много вообще говоря - лучших или худших. Есть Samba - это фактически Windows DC без Windows. Есть IPA. Что это такое и как оно работает - фиг знает, знаю что есть :)

AD - это не только ценный мех пароли в одном месте, но и:
- групповые политики. Это реально мощная вещь!
- тихая установка
- перемещаемые профили и их бэкап
- удобство для админа
- много денег на лицензии :)

Блокирует ли squid 100% протокол https?

Блокирует. Но при определенном наборе условий.

- Можно заблокировать весь vk.com целиком, например, блокируя CONNECT к нему
- Если хочется не только блокировать, но и знать, куда ходили - нужно настраивать бампинг, выпускать сертификаты. Это на самом деле не так уж и сложно, но головой поработать придется

Доступ для разных групп пользователей - это вообще говоря отдельный и немаленький вопрос, с которым все справляются по-разному, в том числе и через группы в AD :)