Ich weiß nicht, wie das mit einer AD-integrierten DS ist, weil ich mich noch nicht damit beschäftigt habe, aber unter Windows "pur" funktioniert das.
Lokale und AD-Benutzer/-Gruppen existieren zwar parallel, aber man kann durchaus AD-Gruppen in eine lokale Gruppe aufnehmen und nur die lokalen Gruppen bei den Shares berechtigen. Die AD-User aus der AD-Gruppe haben dann auch Zugriff. AD-User in lokalen Gruppen geht da auch, macht es aber recht unübersichtlich. Dabei muss man sich nur klar machen, das AD\UserA, AD\UserB, AD\GroupA, AD\GroupB und DS\UserA, DS\UserB, DS\GroupA, DS\GroupB ("DS" mal als Beispiel für die lokalen) einfach unterschiedliche Objekte sind. Aber man kann das beliebig mischen. Dafür muss aber der PC in die AD "gejoint" sein, d.h., im AD muss für ihn ein Computerobjekt existieren und er muss von Arbeitsgruppe aus AD umgestellt sein. Erst dadurch erlangt er Zugriff auch auf die AD-Objekte (User/Gruppen/...).
Eine Ausnahme gibt es: Wenn man zu Hause z.B. mehrere PCs hat ohne Domain hat, und auf allen die Benutzer mit gleichem Namen und Passwort anlegt, dann wird auf PC2 auch der PC1\UserA als PC2\UserA akzeptiert. Bei AD-Usern und Non-AD-Usern funktioniert das auch, solange die Passworte gleich sind. Man kann also auf einem Nicht-AD-PC auch einen AD-User reinlassen, bzw. dessen Rechte verwalten, oder umgekehrt, indem man einen lokalen User mit gleichem Passwort anlegt.
Nicht-AD-gejointe PCs bilden logisch nur eine Pseudo-Domain mit dem Computernamen als Domainname, die nur lokal gilt. Ggf. muss man in gemischten Umgebungen also die Benutzer/Gruppennamen immer mit "Pfad" (Domain\) angeben, um festzulegen, ob man z.B. AD\GroupA, DS\GroupA oder PC1\GroupA meint.
Ist das bei den DSen ein Problem oder habe ich die Frage nicht ganz verstanden?