D'une part, samba4 est loin d'être parfait.
Déjà, je trouve franchement étrange de faire un serveur de fichiers *ET* d'authentification. À moins d'être une toute petite structure, les deux fonctions sont forcément dissociées (et sur leur modèle Windows, l'AD est différent du serveur de fichiers).
Parfois, il tombe en rade… comme ça, sans raison (j'ai eu à le relancer après l'avoir installé avec toutes les options par défaut, et ce n'est pas avec un seul utilisateur qu'il a pu être surchargé). J'étais franchement enthousiaste au début (j'en ai parlé plusieurs fois ici, d'ailleurs), ça m'a largement refroidi.

Accessoirement, les *comptes* (pas les mots de passe) ont une durée de vie assez courte par défaut, mais ce n'est indiqué nulle part. C'est le super bon plan pour avoir un SI qui tombe en rade du jour au lendemain. La doc est franchement pas terrible, même sur le site officiel (d'autant qu'ils mélangent
Partir sur du Python 2 (une grosse partie de samba4 est en Python) pour un projet neuf ayant vocation à durer longtemps ET sans faire attention à faire du code compatible est franchement une grossière erreur. Et bien sûr, dans le code, aucune documentation.

Bref, samba est un excellent exemple d'un gros défaut que je retrouve avec quasiment tous les services sous Linux : il y a plein de tutos pour se retrouver avec la conf' par défaut fonctionnelle mais toute trouée, mais dès qu'il faut faire un truc plus complexe, tu te retrouves à faire du strace et à lire le code source pour comprendre ce qui se passe (vécu avec postfix, dovecot, nfs, openldap, …).
Par exemple, comment n'autoriser que Kerberos comme authentification sur la partie LDAP de samba4 ? Comment faire pour n'autoriser que PKCS11 pour authentification sur la partie Kerberos de samba4 ?

Enfin, samba4 ne fait pas tout. Ça fait simplement l'authent + DNS… il faut encore la synchro ActiveSync (mail, calendrier, contacts, organisation de réunions), le serveur de fichiers, le DHCP, …