Embora eu acredite no OpenSource. O que eu acredito ainda mais é usar a ferramenta certa para o trabalho. O que você forneceu ao tentar usar o openLDAP + SAMBA será como tentar empurrar um pino redondo para um buraco quadrado. Especialmente no tamanho de sua implantação. Se todos os seus clientes estiverem executando o Windows, use o Active Directory.
A política de grupo sozinha é suficiente, na minha opinião, para tornar isso um acéfalo.
Agora, com isso dito, isso não significa que você precisa executar o Windows em todos os seus servidores. Mais uma vez usando a ferramenta certa para o trabalho entra em jogo. Execute seus servidores proxy SQUID no Linux e autentique-os no diretório ativo.
Você provavelmente deve usar o CentOS (ou redhat se sua universidade quiser um contrato de suporte) Debian, ou Ubuntu LTS.
Para responder diretamente a algumas de suas perguntas que não foram respondidas acima:
Você pode fazer tudo com o samba? Provavelmente, mas honestamente, acho que seria mais problema do que vale a pena, e você não terá todos os benefícios do AD
Você precisa do Windows (e acho que na nova versão do AD) para usar o sharepoint
Você pode conseguir usar os aplicativos .net do mono, mas, mais uma vez, provavelmente seria mais um problema do que vale a pena.