Я использую собственный Perl-скрипт, который синхронизируется в одну сторону с AD на LDAP через SSL. Это очень нестандартно и очень жестко. Я шел по тому же пути 6 месяцев назад в поисках инструментов для синхронизации, но ни один из них не соответствует нашим потребностям. Ну, на самом деле нет ничего, что делает синхронизацию без нарушения
Так что мой ответ - взять сценариста и дать ему требования и месячную зарплату. Серьезно, это лучше сделать на месте, чем тратить время на его поиск и адаптацию к вашим потребностям.
Perl имеет хорошие библиотеки и очень хорошо работает для нас. Мы мигрировали из OpenLDAP в 389-DS, в котором уже есть плагин windowsSync (надеюсь, что это заставит вас переключиться). :)