A pessoa entendeu mal sua pergunta. Você certamente pode usar o Active Directory para autenticar os usuários da Internet pública em um site. Você não pode usar a Autenticação do Windows automatizada, em que o Active Directory autentica você automaticamente com base na conta de usuário em seu computador local, mas pode fornecer uma caixa de nome de usuário e senha em seu site que verificará os valores inseridos em um domínio do Active Directory e procurará coisas como associação de grupo correta.
Não é uma boa ideia ter o domínio do Active Directory de uma organização em um servidor da web público. Isso é verdade não apenas por razões de segurança, mas também como uma proteção contra ataques de negação de serviço, em que um ataque ao servidor da Web pode impedir que o usuário trabalhe em suas máquinas locais porque o AD também está indisponível. Mas não há razão técnica para não funcionar. Se a autenticação de seus usuários da Web for o único propósito desse domínio do Active Directory, você certamente poderá fazer isso sem receio. No entanto, se esse for realmente o único propósito, é melhor usar algo como AD LDS (Lightweight Directory Services: pense no Active Directory Lite).
O Sql Server é uma história semelhante ao Active Directory. Nem sempre é uma boa ideia, mas pode tecnicamente funcionar. Você pode pelo menos começar assim e, mais tarde, mover o Sql Server para um host diferente, se necessário.