CityCat4

LDAP - lightweight directory access protocol, протокол облегченного доступа к каталогу, а также одноименная служба. ОБеспечивает доступ к специализированной БД, в которой может хранится все, что угодно, но обычно хранятся учетные данные пользователей, колмпьютеров и т.д. Active Directory - суть LDAP, к ней можно подцепиться обычным LDAP-бразуером и даже скриптами.
Kerberos - сетевой протокол аутентификации. Очень широко используется как в AD, так и в прочих сервисах, которые могут быть как с AD связанными, так и нет. Для аутентификации в AD его широко используют squid и apache. Практически необходим для samba
winbind - локальная копия AD, формируемая samba для целей аутентификации доменных пользователей. Нужен для того, чтобы можно было использовать учетные записи пользователей домена точно таким же образом, как и локальные учетные записи - раздавать права, ограничивать доступ, создавать домашки. Обязательный компонент почтового сервера.
sssd - альтернатива winbind, не требующая наличия samba, достаточно будет adcli. Делает все то же самое, только не нужно устанавливать samba, которая в последнее время толста невероятно.

Знаете, этот "вопрос" тянет на приличное ТЗ с приличным бюджетом :) Причем вопрос бюджета будет первым, который Вам задаст любой человек, к которому обратитесь. Прям в лоб - "софт будет купленый или как обычно?" Потому что именно от этого начинается вытанцовка по серверам, сервисам и прочему.

На данный момент сеть одноранговая

OB, так и останется? Или будете подымать AD? Если да, то на чем - на винде? на самбе? Если на винде - заложены ли в бюджет деньги на лицензии для AD?

Большинство юзеров получают сеть по вайфай

Большинство пользователей имеют дело с графикой и видео, объемы большие.

Взаимоисключающие утверждения. Ну либо Вы настолько юзеров не любите. Везде, где есть возможность подтянуть провод - кладите провод.

О чем надо не забыть в построении грамотной сети?

При расчете количества розеток на место, умножайте их как минимум на полтора и планируйте так, как если бы помещение собрались заселить по максимуму - я видал множество помещений, где изначально планировали посадить трех человек, посадили пять плюс сетевой принтер, да еще стол, где сидят студенты с ноутами. Помните, что "потом" не будет. "Потом" неиллюзорно сложно будет раскачать руководство на докупку чего-либо, а вот в счет по СКС - а он будет весьма солидный - можно втихушку засунуть что-нибудь...

Хватит ли 1го сервера?

Если имеется в виду хост - то может быть и хватит - если забить на отказоустойчивость.

Какой гипервизор лучше подойдет?

Если один хост - ESXi бесплатен. Если больше одного - нужно покупать vCenter. Если денег нет - KVM, ProxMox - если готовы решать специфические проблемы

С чего начать?

С плана. С плана помещения (этажа, здания), на котором обозначить рабочие места, свитчи, маршрутизаторы, сервера и соединяющие их провода. Топологическая схема называется.

Как пользователям подключатся извне?

Через VPN вестимо. Какой? А какой одолеете. PPTP - просто, но не секурно. IPSec- секурно, но сложно.

В сторону какой железки смотреть?

На какую хватает денег. Для выхода в тырнет понадобится отдельный прокси - если конечно руководство у вас не настолько либеральное, что разрешает вконтактик без ограничения во время работы.

Может еще HelpDesk посоветуете?

саппорта - OTRS, разработческий - Redmine

Давненько уже, года с 2013 отошел от майнстрима FreeBSD, но то, что помню - это как раз постоянное выпадение самбы из домена. Почему - я обычно не выяснял, на домен было завязано все, просто делал net ads join заново - и все.
А потом, когда надоело - перешел на pam_ldap/nss_ldap.

Могу привести реально действующий, но немного изуродованный sssd.conf

[sssd]
config_file_version = 2
domains = domain.int
services = nss

[nss]
filter_users = root
shell_fallback = /sbin/nologin
fallback_homedir = /usr/share/smbusers/%u
default_shell = /bin/sh

[domain/domain.int]
id_provider = ldap
auth_provider = ad
access_provider = ldap
selinux_provider = none

ldap_referrals = false

ldap_uri = ldap://dc1.domain.int/
ldap_backup_uri = ldap://dc3.domain.int/

ad_server = dc1.domain.int
ad_backup_server = dc3.domain.int

ldap_sasl_mech = GSSAPI

ldap_id_mapping = true
ldap_schema = ad
ldap_idmap_default_domain_sid = S-1-5-21-xxx... (много-цифр)
lookup_family_order = ipv4_only
case_sensitive = false

ldap_user_search_base = dc=domain,dc=int
ldap_group_search_base = dc=domain,dc=int

ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true

krb5_realm = DOMAIN.INT
krb5_canonicalize = false

ldap_user_object_class = user
ldap_user_name = sAMAccountName
ldap_user_gecos = displayName
ldap_user_principal = userPrincipalName
ldap_user_modify_timestamp = whenChanged
ldap_user_shadow_last_change = pwdLastSet
ldap_user_shadow_expire = accountExpires

ldap_group_object_class = group
ldap_group_name = cn

man sssd.conf, man sssd-ldap, man sssd-ad

Нужно подключиться к его компу оснасткой управления компьютером и добавить его учетку в локальную группу "Администраторы" на его компьютере. После чего скорее всего ему нужен будет ребут.

Нет. Более того, так делать не стоит. Обычно домену AD дают какое-нибудь внутреннее имя типа "kontora.local"

pam_winibnd? Если DM использует PAM (а сейчас его только ленивый не использует), пропишите в секцию auth вызов pam_winbind.
FreeBSD в домене Windows Статья конечно старая, но и технология использования самбы в AD тоже примерно такого же возраста.