La tua domanda è un po 'ampia e soprattutto non chiarisce se stai utilizzando LDAP o Kerberos per l'autenticazione.
Sono abbastanza sicuro che ci sono tonnellate di pagine web che forniscono informazioni sulle migliori pratiche di sicurezza per MS Active Directory in generale.
Alcuni aspetti importanti riguardanti le applicazioni:
Se si utilizza il binding LDAP semplice per consentire alle applicazioni di verificare la password dell'utente, tutte queste applicazioni hanno accesso alla password di testo non crittografato dell'utente
Se si utilizza Kerberos, tenere presente che le chiavi dei servizi sono sempre protette. Perché se un utente malintenzionato può ottenere una copia del segreto condiviso di un servizio che può impersonare come qualsiasi utente di quel particolare servizio.
In generale, consiglierei di utilizzare un metodo single sign-on basato sulla crittografia asimmetrica. Almeno per le applicazioni web che non è poi così difficile.