Верно. Это прямые члены группы, а не вложенные.
Временным решением моей проблемы является использование административной учетной записи для выполнения запроса LDAP.
Каким-то образом определенные объекты AD не были доступны для чтения основной учетной записью, которую я использовал (LDAP учетная запись запроса не имела разрешения членство в группе чтения
) - добавление этого права к моей общей учетной записи запроса LDAP устранило проблему навсегда.
Проблема не только в запросах Linux LDAP к Active Directory. Также происходит с LDAP-запросами Java и AD-запросами Powershell. В этих же случаях, для некоторых пользователей AD, не удаётся запросить член атрибута и получить какие-либо результаты. Опять же, учетная запись, используемая для запроса, не имела права на чтение членства в группе у соответствующих AD-пользователей.
Например, запрос пользователя "ptest" с AD следующим образом не дает результатов, если запрашивающий пользователь не имеет прав на пользовательский "ptest". (В противном случае обычно получается несколько строк, начинающихся с "CN" и показывающих группы, к которым принадлежит "вредитель").
Get-ADUser ptest -Properties * | Select-Object -ExpandProperty MemberOf