Каким он должен быть при варианте: 1 админ а все одинаковые юзеры?
Для Anonymous No Access?
Там еще права сервера присутствуют о_О

Вопрос очень общий.

1) Если база - это чья-то разработка, то обычно в документации (часто в Help - Using this database) пишется о правильных правах к базе.
2) Если это ваша база, то читайте хэлп и делайте права доступа в соответствии с вашими требованиями.

В общем случае, админам и серверу даются максимальные права. Права лучше раздавать на базе групп и ролей.

Anonymous : No access
Default: Reader (любой пользователь прошедший аутентификацию)
Административный сервер директории: Manager
Сервера домена: Author
Прочие сервера: Reader
Группа админов: Manager(рулить лучше через группы)

Я бы еще добавил Maximum Internet name and password = No Access

Не наблюдал такого в ACL O_o

-> А если поставить юзерам тож No Access то может там можно среднебезопасно хранить приатаченные ID?
Их кроме админа и серверов никто не сможет вытащить.

На вкладке Advanced ACL

Зачем?! К тому же если у них не будет доступа АК домена как они будут адресовать почту. Хранить id в person доке одначначно не нужно, натсраивайте id recovery