O recurso mais próximo que fica mais próximo do que você está procurando é o Controle de acesso dinâmico (DAC) no Windows Server 2012 e 2012 R2, mas eu não acho que você vai acabar tendo toda a infra-estrutura necessária apenas para isso. Mesmo se você resistisse ao DAC, você está contando com um monte de "partes móveis" e você realmente deveria ter uma abordagem de "cinto e suspensórios" com defesas em camadas.
Definindo o DAC de lado, acho que seria melhor começar segmentando sua rede usando os mecanismos de controle de acesso da camada 3-7 (ACLs, dispositivos de firewall, etc.) para colocar os servidores que executam funções voltadas ao público em parte do seu rede que tem regras restritas de entrada e saída para impedir que esses servidores, caso sejam comprometidos, atuem como gateways para atacar o resto da rede. Se isso significa que você tem que dividir alguns papéis para novos hosts, então que assim seja. Eu costumo ser uma daquelas pessoas que pensa que você deve ter separação física de zonas de segurança, na medida em que é viável. Switches separados, VM hosts, firewalls, IDS, etc, devem ser o ideal e você deve trabalhar longe disso apenas como dita a viabilidade.
Você está certo em se preocupar com isso. Um amigo meu relatou um pentest de aplicativo Web externo que acabou se transformando em um comprometimento bem-sucedido do Active Directory na LAN "por trás do firewall" em que o aplicativo da Web público estava localizado. Esse tipo de coisa pode e acontece.