Provavelmente, é melhor você escolher uma abordagem do "Triângulo Dourado" aqui. Isso significa ter o Open Directory em alguns servidores do OS X, o Active Directory no Windows e configurar o Kerberos para encaminhar solicitações de autenticação dos servidores do OD para os do AD.
Dessa forma, você obtém autenticação e autorização centralizadas em uma plataforma Windows e ainda é possível usar ferramentas específicas da Apple, como o WGM (acho que a Diretiva de Grupo, mas ausente) para as máquinas OS X, pois elas estarão vinculadas a ambos os diretórios .
Com apenas 5 clientes Windows, você pode até mesmo querer fazer o DO e pular o AD juntos até que o número de clientes Windows cresça.
Produtos como ADmitMac também existem para ajudar a aliviar esse fardo de gerenciamento (pesadelo), embora seja mais destinado à integração Macs em um ambiente em grande parte do Windows - que é o oposto do que você está fazendo.
Uma opção final é executar algumas atualizações de esquema específicas da Apple em seus controladores de domínio, o que permitirá que você use o WGM para gerenciar clientes do OS X sem a necessidade de abrir o diretório. Algumas pessoas fazem isso e não têm problema. Outras pessoas realmente têm medo de executar uma atualização de esquema da Apple em uma floresta de produção - eu sou uma dessas pessoas, então eu nunca tentei isso.