Как я говорю моим пользователям изменять свои пароли пользователя в домене, не подключая их ПК к домену или заставляя их войти в систему машины на домене?
Это кажется, что единственная опция для веб-сайта, который работает на DC для реализации этой функциональности. Вы не можете изменить пароль пользователя в домене без того, чтобы так или иначе говорить с DC, ни один прямо или косвенно.
Разрешения в unix основаны на uid. Итак, если ваши пользователи на старом сервере ldap и новом сервере ldap имеют одинаковый uid, они все равно сохранят свой доступ. Пока пользователь сохраняет тот же UID, он сможет получить доступ к ресурсам. Какое отображение вы хотите сделать?