Пользовательские объекты обычно не добавляются в доменных пользователей. Обычно это помечается как их основная группа в объекте пользователя. Я бы не стал использовать членство в доменных пользователях для обеспечения безопасности на основе ролей, поскольку это усложнит работу любого поставщика ролей, который вам нужно написать. В большинстве случаев членство в доменных пользователях просто означает, что у вас есть учетная запись в домене. Это легко проверить, выполнив поиск по самому объекту пользователя. У меня была только одна ситуация, в которой я использовал пользователей домена - это было в решении для входа в систему Windows - и это было в качестве запасного варианта, чтобы продолжать использовать наш групповой доступ, когда исходная схема управления группами не работала для политические причины.