Есть достаточно много сторонних программ, которые умеют авторизоваться через LDAP, обычно для этого используется атрибут UniqueID, но он обычно при создании пользователя равен CN. При этом если в пределах OU уникальность CN проверяется, то в пределах дерева это естественно нет, как нет и проверки на уникальность UniqueID, что в случае разветвленного дерева вызывает проблемы.
Соответственно вопрос - нет ли у кого-то правил создания этого UniqueID, чтобы обеспечить его уникальность? На данный момент есть 2 варианта: копирование поля mail с заменой @ на . либо вырожденный DN, т.е. пользователь.OU....OU (без дерева) - естественно хотелось бы это автоматизировать, эти 2 варианта такую возможность обеспечивают