У Вас есть порт 22 выставленных к миру. Можно или использовать функции брандмауэра OSX, встроенные для сужения дюйм/с, который может получить доступ машине, или можно поместить своего рода межсетевое устройство / сервер перед сетью и потребовать, чтобы люди соединились с тем (обычно через VPN) прежде, чем соединиться с сервером (серверами).
Я лично не потрудился бы изменять порт SSH. Безопасность с помощью мрака является мифом. Сканеры портов могут легко узнать, какой сервис работает на нестандартном порте и делает среды нестандартными, может вызвать проблемы с поставщиками или более раздражающе добавить еще больше вещей удостовериться, что все недавно нанятые люди знают, чтобы сделать. Это просто добавляет, что больше вещей зарегистрировать и удостовериться стандартизировано.
Необходимо удостовериться, что Вы понимаете Active Directory и как диагностировать его, когда что-то идет не так, как надо, или иначе Вы просто добавляете больше сложности и больше точек отказа к Вашей среде, но это - основной набор навыков, который Вы, как ожидают, будете иметь как администратор Windows так или иначе. В общем случае я шел бы вперед и сделал бы это, потому что преимущества явно перевешивают затраты, особенно когда дело доходит до резервных копий и других вещей, которые пользуются большим премуществом функциональности единой точки входа Kerberos в доменной среде.
Одной вещью, которую Вы действительно хотите иметь в виду, является сетевая сегрегация - Active Directory действительно требует открытия довольно значительного числа портов между Вашим DCS и Вашей демилитаризованной зоной для работы правильно. Если это - беспокойство о Вас, можно хотеть не соединить общедоступные серверы с доменом, или можно хотеть создать другой AD сайт (или даже возможно другой домен в лесу) для систем демилитаризованной зоны. Каждый из них вещи означает добавлять намного больше сложности к Вашей установке.
В то время как я понимаю Ваше требование упростить управление этими серверами, в конце дня необходимо сделать то, что необходимо сделать. Я никогда не слышал ни о каком веб-сервере (веб-серверах), доступном для общественности, которые были членами домена AD. За исключением очень определенных обстоятельств, где это требовалось бы, я рекомендую против него.