Trabalho com clientes de alto nível o tempo todo discutindo exatamente o cenário que você está investigando.
O AD não terá nenhum problema com muitos objetos. Eu trabalhei em ambientes de clientes que têm vários múltiplos disso.
Muitos dos clientes com quem trabalho no seu cenário acabam desabilitando as alterações de senha nativamente por meio do AD e forçando as pessoas por um tipo de portal que fala com uma ferramenta que alimenta a senha em todos os sistemas que precisam de uma cópia de. Isso está bem, a menos que quebre e as coisas fiquem fora de sincronia. Eu também trabalhei com o cenário do Curb e, enquanto ele funciona, não é algo que muitas pessoas saibam como executar ou apoiar, então você provavelmente está pedindo problemas lá em termos de pessoal operacional.
Você também pode procurar algo como o ILM da Microsoft, que capturará alterações de senha no AD e permitirá que você as encaminhe para outros sistemas (por exemplo, Sun LDAP, etc). Isso permite que as pessoas usem a funcionalidade de alteração de senha nativa no AD em vez de um aplicativo interno.
Ter pessoas com afiliações como ex-alunos, inscrição, comunidade, etc. está bem. A única coisa que chamo a atenção das pessoas é ter em mente que as permissões padrão como Todos / Usuários Autenticados lançam uma rede muito mais ampla, então você precisa ACL coisas com grupos que representam afiliações que representam os usuários reais que você deseja permitir (por exemplo estudantes, professores, funcionários, etc). Eu também tento fazer com que as pessoas limpem contas regularmente para pessoas afiliadas a aplicativos.
Em geral, eu insisto muito para não ter diretórios LDAP paralelos. É realmente um desperdício de tempo e dinheiro, em geral, ter dois (ou mais) serviços fazendo a mesma coisa.