мне надо было чтобы:
1. отдавался fdn (с контекстом)
2. не открытым текстом
3. ну и на стороне сервера проверялось у пользователя - fdn принадлежность к группе задавемой в ком строке хелпера
посему переписывался скрипт на перле (в тч делал и с RSA шифрованием потом почему-то положил в запасник
- на стороне перла стандартная перловая либа на стороне винды делал и openssl и win32 crypto ip ) +
чтоб он не валился при указании невалидного IP адреса итд итп - там в исходном никаких проверок вообще
переписывался clntrust.exe не на AHK а на C (делал на голом win32 API безо всякого VCL).
стало возможно более гибко создать несколько групп пользователей. (правда первую ACL все равно дергают чаще)
P.S. Тут забавный момент - у OES2 все еще было ок а у SLES11 по другому - BINDERY service рапортовал о себе в SLP DA (пока он на NW65) каждые 9 минут и не пропадает сервер из списка биндерных серверов.
У OES11 по дефолту он раз в 1 час почему он не часто отсвечивает как биндери-сервер.
лечится ndsconfig set n4u.nds.advertise-life-time=600
Есть TID на эту тему 7001449.