Você precisa instalar o SSO como um usuário de domínio para fazer o trabalho de descoberta automática. Este usuário precisa de privilégios de administrador no servidor vCenter, mas NÃO precisa ser um administrador de domínio.
Não tenho certeza sobre sua pergunta sobre o OpenLDAP. Você quer usar a autenticação do AD, certo?
De acordo com sua terceira pergunta, se os hosts tiverem ingressado no domínio, você ainda poderá fazer login diretamente com eles usando as contas do AD, independentemente do que você configurou para SSO, pois os hosts não usam SSO para autenticação. .