> А что, по-вашему, крупный софт?

Автоматизации для сервис провайдеров. Корпоративные порталы на 10000+ человек штата. Крупные MDM-решения (1С весьма средненький), собственные, например, поверх AXAPTA.

> Вы это расскажите OVA Exchenge

MS Exchange это всего-навсего почтовый сервер, причем чисто Submission-агент. По умолчанию он ставится в AD Site и в идеале обменивается почтой между сайтами через Edge Transport роль у которой свой LDAP с частичной синхронизацией объектов. Он не просто обращается к AD, он хранит всю свою конфигурацию в AD... вот только он не аутентифицирует пользователей через LDAP, если вы не в курсе. Он не ходит в каталог сличать логины и пароли в зависимости от параметров аутентификации это делает либо IIS через отдельные учётные записи либо олицетворяя пользователей через NETWORK SERVICE по Kerberos, если используются формы и не используется WS-Federation. Есть продукты в MS, которые ходят в LDAP напрямую, но они обычно именно что должны работать с LDAP, тот же RADIUS (NPAS). Есть разница между тем что что-то использует протокол аутентификации и авторизации и что-то лезет в каталог с полными правами, чтобы оттуда хэши паролей дёргать для сравнения. Были бы вы поопытнее, знали бы единственный продукт в MS который так активно делает. Есть способ быстрой синхронизации AD с AzureAD, один из возможных сценариев. Специально для оболтусов^W малых предприятий, кто не осиливает поднять службы федерации. AzureAD Connect называется эта штука. И то, она это не требует а предлагает как опцию.

А теперь давайте подумаем, как Exchange продавать как сервис.
- Ставим AD с правильным именем корня леса в формате "opennet.ru", чтобы было 2 уровня и чтобы никаких local и прочей неподпадающей под стандарт доменного именования дребедени, которые ставят себе двоечники
- Делаем субдомен clients.opennet.ru, с однонаправленным доверием, чтобы инфраструктура возымела выделенный корень
- Делаем по одному сайту на каждый датацентр (локацию), чтобы сформировать Disaster Recovery (пусть для простоты у нас две независимые локации)
- Ставим трёхсерверные физические кластеры Exchange так, чтобы 2 сервера были всегда в одном сайте, а третий в другом.
- Ставим балансировщики нагрузки с отказоустойчивостью на уровне сети (VRRP/BFD) чтобы точка входа в сервисы могла меняться между датацентрами в случае полного сбоя
- Настраиваем 2 независимые инфраструктуры резервного копирования по одной на каждую локацию
- Настраиваем HA/DR для инфраструктуры управляющего контура в выделенном корне леса
В итоге должна получиться группа кластеров, каждый из которых находится в демилитаризованной зоне, работает со своими контроллерами и не лезет дальше разрешенного.

Далее покупаем готовые панели управления или пишем свои собственные, которые организующие оркестрацию этой инфраструктуры. В этой ситуации каждый сайт представляет локацию и есть параметры репликации, отказоустойчивости, восстановления после сбоя и резервного копирования. Далее мы заводим новые и новые организации в AD (они ложатся в CN=Configuration), а пользовательские учетки мы грузим в OU выделенные под каждую организацию в основном каталоге.

Вот тут-то они и нужны эти OU. Когда есть несколько независимых и неуправляемых вами инфраструктур AD, пользователей которых нужно постоянно синхронизировать внутрь большого каталога и внутренние права и группы и много чего еще.

Пример я привожу с Exchange, потому что вы сами его вспомнили, но такая логика с любым сервисом, который хоть чуть готов к продаже as a Service. И вот если какой-то наглец подойдет ко мне лично с предложением "использовать FreeIPA" и "уютненьких группок и контейнеров хватит всем", то я сначала его попытаюсь хоть чему-то обучить, а если не получится, то тогда ударю больно по голове и не поленюсь для этого расшнуровать туфлю, чтобы не делать это руками.

> Какие сервисы есть в AD, которых нет в FreeIPA, кроме DSR, который там не сдался и делается вменяемыми средствами?

AD это не каталог, ADDS - это LDAP+DNS+Kerberos+SMB/DFRS+RPC+SOAP, тем кому это не надо могут использовать ADLDS, который даёт только LDAP не надо путать эти части AD. AD LDS тоже нужен и используется ну хотя бы в том же Exchange. А еще есть AD FS, без которого мало что можно сделать из того что я писал в посте выше. И еще есть AD CS, но увидеть его в крупном развертывании можно только в организации, которая реально требует контроля за политиками выдачи сертификатов, смарткартами и сетевыми устройствами ipsec и WPA Enterprise. Когда вы читаете требования AD, то вам дают исходя из нужд под ADDS, а они объективно выше чем у голой FreeIPA. Я специально не пишу в требования SMB1, NetBIOS, WINS и прочий легаси, который был разработан IBM, а потом куплен и адаптирован для Windows, это всё 10 лет как херят, вон даже ретрограды из Samba ключик добавили чтобы не собирать исторические подсистемы, которые ничего кроме проблем с безопасностью в инфраструктуру не привносят.

> А что же крутится на Web-сервере на крупных проектах? MediaWiki мелкий проект? GITLAB?

Один очень специфичный, а второй и вправду мелкий. А вообще Wiki на движке MediaWiki это такой