Samba vs. domaine Windows, c'est avant tout une question de vocabulaire et de glossaire.
Au départ, Samba c'est un serveur de fichier SMB qui a rapidement évolué pour être CIFS compatible, c'est à dire compatible avec le serveur de fichier Microsoft.
A partir de là, comme il fallait, afin d'être vraiment compatible avec Microsoft qui détient une grosse part du marché, offrir, au delà des permissions standard sur les fichiers, des mécanismes similaires à ceux de Microsoft, Samba à évolué de la gestion d'un workgroup avec WINS etc... à l**'émulation d'un domaine** avec WindBind.
Mais pour pleinement profiter du concept de domaine, il faut s'appuyer sur Kerberos et au final, de mon point de vue, comme un domaine Windows c'est un royaume Kerberos avec un annuaire LDAP en back-end, entre Samba et un "vrai" domaine Windows, il n'y a pas beaucoup de différence. comme tu l'écris assez justement, la différence, c'est la manière dont sont supportées les GPO.
Mais tu peux sans problème mettre en oeuvre des GPO avec Samba :-)
Il suffit que ton annuaire LDAP les mette à disposition puisque c'est le client Windows qui applique les GPO.
Quelques petites précisions supplémentaires, hors sujet pfSense mais dans le prolongement de ta réponse:
oui Kerberos c'est mieux que NTLM. aucun doute la-dessus
c'est plus sécurisé mais ça dépend des implémentations
celle de MIT est plutôt bien coté sécurité
celle de Heimdal.... et celle de Microsoft présentent des failles qui sont largement exploitées comme pass-the-hash.
Je te laisse regarder Mimikatz :-)
Enfin, Kerberos ce n'est pas exactement de la fédération, de mon point de vue, même si ça s'en approche pas mal.
Les choses sont souvent confuses autour de fédération, SSO et Kerberos.
La fédération chez Microsoft, c'est ADFS qui implémente des protocoles comme WS-F/WS-T (qui peuvent s'appuyer sur Kerberos BTW), SAML et depuis peu OAuth.