Простой, но легко пропущенный - у Вас есть другие веб-сайты, работающие на IIS?
Если так, один из них мог случайно быть связан с тем же веб-сайтом (non-www вариант)? IIS обычно предупреждает Вас, при попытке сделать это (Вы получаете сообщение о дублирующейся привязке), но он на самом деле не останавливает Вас.
Хорошо, вот как я бы это сделал:
Одна база LDAP, всегда одна база LDAP. Даже если набор инструментов, который вы используете, поддерживает несколько, где-то по ходу дела вам нужно будет использовать то, чего нет. Отказ от ответственности: я даже не пробовал.
Я всегда использую постоянный ток. Его гораздо легче запомнить, и наличие структуры DNS, которая соответствует структуре LDAP, кажется мне более интуитивно понятной. Сказав это, у меня были проблемы с получением сертификатов в прошлом.
Две группы с некоторыми общими членами определенно чувствуют себя верным путем вперед.
Что касается sudoers, то в Linux я всегда просто создавал группы в sudoers, а затем добавляйте группы и управляйте ими с помощью LDAP. Я знаю, что вы можете создать sudo для использования LDAP изначально, но это не происходит ни на одной из платформ, которые я использую, поэтому я не делаю этого.