Посмотрите, что выдает gpresult /V /SCOPE USER на проблемных компьютерах, и поищите ошибки применения политик в журналах приложений и Microsoft\Windows\Group Policy.
На контроллере свой LDAP-сервер, достаточно культурно настроить права доступа и читать данные с него. Какова функция OpenLDAP в этой связке? И что Вы хотите писать на контроллер?
1. MSI, иногда с MST, иногда с административной установкой.
2. Зачем создавать из exe msi? Как правило, exe-установщики поддерживают режим тихой установки, который можно использовать в сценариях запуска.