В LDAP ваш полный DN (необходимый для связывания) может быть чем угодно, и часто может меняться.Изменение имени (поскольку AD по умолчанию использует полное имя, сопоставленное с CN в DN), или перемещение может изменить его.Поэтому ожидать, что люди войдут в систему с полным DN, не получится.
Таким образом, бэкэнд-система входит в систему в ближайшее время, ищет какой-то уникальный tidbit.Как электронная почта, имя пользователя или что-то еще, находит правильное DN, а затем пытается войти с предоставленным паролем.
Или же вы используете служебную учетную запись для своей серверной системы вместо анонимных привязок.