Есть необходимость прозрачно запускать не доменных клиентов, находящихся в той же сети, поэтому первое, что пришло в голову, это сертификаты (нежелательно давать логин пароль от домена, желательно пустить пользователя к апсу, совсем без его умственной деятельности).
Центр сертификации есть, автоматическая выдача сертификатов работает.
Принципиально нет никакой разницы, какой способ использовать, но правило одно, максимум ввод одного пароля, идеально, если без паролей вообще.