Решенный... частично. Я полностью пропустил то, что можно добавить другое условие к запросу LDAP..., таким образом, довольно легко проверить на членство больше чем одной группы.
Некоторые протесты:
ldapbinddn
(который определяет имя пользователя для использования для соединения с AD, и необходимо использовать DN пользовательского объекта здесь, не простое имя пользователя!) и ldapbindpass
, который определяет пароль пользователя.…, но по крайней мере фактические группы в AD могут быть сведены к минимуму.