Даже жесткий Вы используете LDAP, большая часть системы имеют счет корня/суперадминистратора на офлайновую аутентификацию, в случае каждого экземпляра LDAP снижается. Вещи, которых не должно происходить, будут раньше, чем, позже происходят.
LDAP мог быть Вашим ответом в этом случае, но для офлайнового корневого пароля администратора необходимо использовать центральный CMDB, новый случайный пароль для каждого сервера и своего рода автоматизировать стандартные программы для того, чтобы регулярно изменить эти пароли, и конечно проверить изменения, которые были сделаны.
При клонировании VM (который я не думаю, что необходимо сделать, но это - другой вопрос), определенные стандартные программы должны быть выполнены, и один из тех должен изменять все пароли.
Править: Ответить на Ваш заголовок, "Как Вы выбираете пароли для большого количества серверов?" - Вы не делаете. Я использовал бы случайный для всех серверов. Реальный вопрос состоит в том, как и когда Вы обнаружите, когда кто-то нарушил на Ваших серверов.
Вы измените записи DNS в Доменной панели управления В Godaddy и иметь для обновления записей MX в DreamHost для использования Google Apps.
Рекомендуется обновить записи MX в Вашей панели управления хостинга до изменения записей DNS в Доменной Панели управления для непрерывных почтовых сервисов.
Это похоже от деталей, которые Вы имеете при условии, что DreamHost будут Вашим поставщиком DNS.
Так, после того как Вы настроили свои записи MX в DreamHost, можно переключить NameServers в GoDaddy, и все продолжит хорошо работать.
См. также это почти (но не совсем) идентичный вопрос: После того как почтовый хостинг через Gmail является установкой, действительно ли легко изменить веб-хосты?