Moin,
ich kann nur einen Teil der Fragen beantworten.
Die ACLs sollten in der Tat nicht in vorhandene Dateien von Univention geschrieben werden. Sinnvoller ist es, dafür eigene Templates anzulegen und diese dem UCR-Mechanismus bekannt zu machen. Dafür müssen Sie zum einen eine Konrtrolldatei in /etc/univention/templates/info anlegen (Name beliebig, mit ».info« als Erweiterung), zum Anderen die eigentliche Templatedatei in /etc/univention/templates/files/etc/ldap/slap.conf.d. Beispiel für den Inhalt einer solchen Kontrolldatei (nennen wir sie »custom-acls.info«):
Type: multifile
Multifile: etc/ldap/slapd.conf
Subfile: etc/ldap/slapd.conf.d/20-custom-acls
Der Name der anzulegenden Template-Datei muss dem aus dem »Subfile:« in der Kontrolldatei entsprechen. Die Dateien werden anhand ihres Namens sortiert und ausgegeben, sodass Sie über den Namen den Ort steuern können, an dem Ihre ACLs in der Datei stehen werden.
Danach nur noch die Datei 20-custom-acls anlegen und »ucr commit /etc/ldap/slapd.conf« ausführen.
Die Synchronisation erfolgt nicht automatisch, das müssen Sie manuell machen. Da Ihre ACLs nur für Server interessant sind, in denen das LDAP-Verzeichnis auch tatsächlich geändert werden kann, müssen diese Änderungen nur auf DC Backups kopiert werden (für den Fall, dass der DC Backup mal zum DC Master hochgestuft werden muss).
Ich glaube nicht, dass es möglich ist, das Joinen nur bestimmter Servertypen zu ermöglichen.