Могу только своим опытом поделиться: во-первых избавится от зоопарка дистрибутивов. На каком именно остановится - это уже каждый под себя решает, но главное - выбрать один. Далее локальный репозиторий сделать, если это rolling release дистриб, да даже если и нет, а просто много машин - с локального будет в разы быстрее. Ну а потом уже через Ansible все автоматизировать. Разумеется сначала на тестовой виртуалке тестить обновление, потом уже раскатывать на продакшен. У меня вот, по сути, есть десктоп-линукс (на всех десктопах конторы одинаков, соответственно и у меня на компе виртуалка с точно такой же системой, на которой проверяю обновления), есть базовый серверный шаблон (с которого все виртуалки серверные и создаются), его тоже копия на виртуалке есть и тестирую на ней. Ну а специфичные серверы только клонированием виртуалки и проверкой обновлений на ней.
Таким образом у тебя всегда система везде стоит, про которую ты сам уверен, что она рабочая и нет подводных камней вида "вот тут дистрибутив один, а тут другой". У меня несколько сервисов на php например, вот вышел php 7 - все эти машины склонировал, протестировал, программисты все поправили - я на все машины в продакшене php 7 накатил за 1 раз. И т.д. и т.п.
Учетки через LDAP, Samba-то зачем, когда Линукс? Просто один LDAP и все.
Про политику безопасности - это виндовое понятие, в линуксе по-другому слегка. Конфиг везде через ansible обновил и все, если он где-то вдруг его не смог поменять - он ж напишет об этом. Но если ты вначале позаботился и зоопарк дистрибутивов устранил - все будет четко работать в будущем, без головняков.
