> Мне надо 10 тыс раб мест перевести на линукс.

Альт или не альт тут не имеет значение. Проблема в том, что сама задача поставлена как-то истерически.

Если у вас есть Windows-инфраструктура таких объемов то нет никакого "мастера" по конвертации вы нигде не найдёте правильного и простого решения. Вам придётся иметь дело с убогостью целого ряда вещей в мире Linux, в частности отвратительной поддержкой Kerberos на стороне ОС с одной стороны и кучей странных Windows-специфичных решений, которые тянет Microsoft чисто исторически.

Исходя из того что вам нужно перевести 10000 юзеров не прерывая работу всей компании, то синхронизация паролей - это последнее о чем нужно беспокоиться. Вам нужно понять какие атрибуты вам вообще нужны, а пароль пользователю и поменять можно. Вы там выше по тексту решили "не говорить" о GPO, а именно с них всё и начинается. Вам нужна собственная централизированная система работы с конфигурацией etcd, ansible, git причем самое отвратительное то, что вам при помощи этих инструментов нужно получить Desired State на рабочих станциях, а инструменты эти мягко говоря не рассчитаны на то чтобы устранить дрифт. Пишите скрипты.

Если FreeIPA - это конечная цель, то вам нужно её поставить и сделать двунаправленную федерацию Kerberos между ними при этом внимательно слелите за техническими ограничениями SSSD. Поддержка Kerberos в Linux настолько ужасна, что большая часть инфраструктурных продуктов не поддерживает банальную федерацию.

Вам на первом этапе нужно добиться чтобы:
1. Windows-сервисы приняли учетные данные из FreeIPA (Windows справится он федерируется хоть с голым MIT Kerberos)
2. Вам хватило атрибутов в каталоге FreeIPA, думайте что вы будете использовать для работы
3. У вас заработала выстроенная вами с соплей и палок система конфигурирования рабочих станций

Далее переводите рабочие станции согласно географии/штатному расписанию вместе с пользователями:
1. Осознайте политики и переделайте их в скрипты
2. Протестируйте работу компьютера пользователя
3. Заводите новых пользователей в новый домен FreeIPA

В этом случае у вас будет получаться так, что Windows-сервисы, которые вы еще не поменяли будут корректно отрабатывать в рамках Kerberos-федерации, а Linux-сервисы (FreeIPA-SSSD) ну они только для Linux, потому что бомжи не способны в Kerberos. Я конечно же предполагаю, что у вас там Windows тоже развернут так, что вы не полагаетесь на CredSSP/NTLM и прочую муть с конвертацией протоколов при делегировании. Если нет, то исправляйте.

Вообще не так страшен Linux, как печать на нём =)
Я почему вам предлагаю плавный переход с по отделам за длительное время... вам же железо менять. Если вы думаете, что все те принтеры, которые вы использовали будут продолжать печатать так как они печатали на Windows... и что буквально за пару дней все начнут работать в тех же программах где работали раньше, то вас ждёт факап уровня генштаба.
Windows Spooler - это чисто клиентская печать с возможностью выноса генерирования страниц на сервер EasyPrint, а в Linux у вас CUPS (всегда серверная печать) с драйверами разной степени качества. Они не похожи друг на друга. И вот если вы собрались переводить на Linux рабочие станции, которые подключаются к Microsoft RDS терминалу, с локальными принтером в отделе, печать на который заворачивалась через роль изипринт, но подключен по по USB-шнурку, вам надо очень вдумчиво сделать серверное развертывание CUPS и при этом озадачиться покупкой новых принтеров туда, где CUPS работает не удовлетворительно. Просто я ни в жизнь не поверю, что на 10000 человек у вас только сетевые и только самодостаточные принтеры.

Думаю, если начнете сейчас, то годика за 2 управитесь. Не понятно только, нахрена попу гармонь.