В конфиге описывается даже то, что не живет:
TelnetRun=0
— он не стартует (поскольку дыра)

-2 — версия протокола (оказалось существенно)
-q — без лишних предупреждений
-i <my_key_files_path>/id_dsa -ladmin — тут все понятно
-oStrictHostKeyChecking=no — иначе будет ждать подтверждения о принятии нового хоста
-oUserKnownHostsFile=/dev/null — если на том же IP адресе/имени оказался другой хост (редко, но случается), защита ssh отвергнет коннект. Здесь у нас всегда все хосты новые (каждый новый — плевок в пустоту). В купе с опцией -q лишних вопросов не будет.
Понимаю, что где-то нарушил секюрность, но несильно.

Один момент, который в некоторых случаях имеет значение — winexec, как я понял использует RPC. Это либо авторизация в домене, либо локальные пользователи (с админ правами). В принципе все правильно, если все в одном домене.
Но иной раз появляются в сети ноутбуки с Home версией Windows — в домен его уже не введешь. В случае с freeSSHd все инвариантно к домену, системе и т.д. — решается на уровне ssh протокола, который вполне надежный, защищенный, нужен только публичный ключ, который и защищать не нужно.

В смысле скрипт на PowerShell слушает на сокете команды, которые ему посылает клиент (в данном случае из Линукса)? Мне пока такие решения не попадались.

Я не пробовал winexec, поэтому сравнить не смогу. К тому времени, когда вышла статья на хабре про winexec, у меня уже давно работала система на freeSSHd. Работала (и работает) почти без проблем, а написать собрался только 5 лет спустя, может кому-нибудь пригодится.
Некоторые проблемы появились только на последних версиях Windows — потребовалась настройка Брандмауэра.

Имел ввиду наиболее простой вариант приемной стороны. Отработать импульсы фотодиода сможет даже дешевая AtMega.

Подумалось — а какой самый дешевый канал информации может дать телефон? Wi-Fi дешев, но у телефона есть еще и фонарик. Серия световых импульсов — код. Тогда на приемной стороне — всего лишь фотодиод. Связь в одну сторону, но для этой задачи достаточно. В кодовую посылку можно вставить и время жизни пароля. Вот только до сих пор не встречал приложения для подобного использования фонарика.
Можно конечно и световым пятном на экране помигать.

Читается как хороший детектив. Респект автору.

Чтобы уж совсем корректно «сшить» ваш тест с тестами из исходной статьи надо было бы еще добавить исполнение оригинального теста на Python2.7 на вашем железе — оно ведь все таки другое…

Ну и не забудьте про перенос SysVol

rsync -XAavz --delete-after  /var/lib/samba/sysvol NewSambaDC:/var/lib/samba

Ну и если не использовали rfc2307 + sssd скопируйте idmap.ldb на новый сервер, иначе будут проблемы с правами пользователей.

В статье была ссылка wiki.samba.org/index.php/Join_a_domain_as_a_DC. Достаточно детальное описание, как подключиться к существующему домену в качестве DC.

Можно еще попробовать подключить новую Samba4 в качестве дополнительного AD DC, если получится — перенести на нее все роли FSMO и затем удалить старый DC.

А что мешает попробовать на тестовой площадке? Сделать полную исходную копию и смоделировать переход. Благо дело теперь нет проблем с виртуальными средами. Вот здесь немного про апгрейд wiki.samba.org/index.php/Updating_Samba#On_Samba_Active_Directory_DCs

Отряд не заметит потери бойца… А что касается веб-программирования — уже пришлось написать сайтик для администрирования юзеров самбы ограниченным персоналом (Апач + пхп + CGI на том же Питоне)