Es geht nicht so um die Passwörter der Benutzer, die das Programm nutzen wollen. Da wird die Authentifizierung über den Domäne-Benutzer gesteuert, d.h. er muss sich am Programm genauso anmelden, wie an der Domäne. Es geht eher darum, dass das Programm intern "wissen" muss, wie es an die verschiedenen Datenbanken dran kommt, und wie/wo man diese Info sicher speichert. Da wäre aber die Idee deiner Passwort-Datenbank (im Gegensatz z.B. zu einer Ini-Datei) eine Alternative.
Die Datenbank, die eurem wollmilcheierlegenden Tool zugrunde liegt, sollte ebenfalls dort liegen, wo nur Admins rankommen. Die Zugriffsdaten für die verschiedenen Datenbanken sind dann verschlüsselt in dieser Tool-Datenbank gespeichert. Der Key zum entschlüsseln dieser Daten liegt ebenfalls auf dem Server, oder auch der Key zum Entschlüsseln des Keys usw. Ein Sicherheitsschloß, das Fingerabdruck, Retina und Sprachmuster prüft, erlaubt nur den Administratoren, den Serverraum zu betreten.
Scherz beiseite, wo ist hier eigentlich das Problem? Das Tool verwaltet Rechte, Passwörter und sonstige Zugangsdaten. Das Tool kann nur von Berechtigten mit der richtigen User-Passwort-Kombination gestartet werden. Werden falsche Zugangsdaten eingegeben, startet das Tool nicht bzw. beendet sich sofort und legt einen Log-Eintrag an. Ich halte das für einfacher als die Domänenverwaltung von Windows zu bemühen. So wäre z.B. auch sichergestellt, daß nicht ein Unbefugter das Tool startet, während der Domänen-Besitzer gerade auf der Toilette ist – der sollte natürlich vor dem Klogang stets das Tool sperren oder beenden.