Privileged Access Manager ( 以下、PAM) でActive Directory のフォレスト配下でいくつかの異なるドメインを持つ複雑な組織のユーザやデバイスを管理する必要がある。

場合によっては、ユーザが毎回個別のサブドメインを指定する代わりにルート ドメインを使って PAM にログインすることを推奨する場合もある。これを簡単に実現するために、管理者は異なるドメインのユーザを含むグループをルート ドメインに作成する場合がある。

以下のマニュアルを参照 :

ユーザ認証用の Active Directory を設定する方法

これらの設定により一部は動作するが、一部機能が動作しない。
例えば、LDAP ブラウザでユーザやグループのメンバーシップは確認できるが、インポートを行うと<User> が example.com ルート ドメイン内の グループにいたとしても、以下のエラーが発生する。

LDAP member CN=<User>,OU=Computers,OU=YY, OU=ZZ, DC=<サブドメイン>, DC=example, DC=com not found in domain.

フォレスト内で異なるドメインのユーザを含むグループをインポートするにはどうすればよいか？

こちらを実現するためには LDAP ポートは フォレストのグローバルカタログで使用する 3268 (unsecure) または 3269（secure) に接続する必要があります。
標準のポート389 (LDAP)/636 (LDAPS) に接続した場合、LDAP 内のオブジェクトは見れますが、PAM への LDAP グループからインポートが失敗します。

ポートが正しく設定されている場合は、LDAP ブラウザで異なるサブドメインでも内容を確認することができますが、ポートに 389/636 が指定されている場合、複数のドメインにわたるデバイスやグループが移動できても内容を表示できないことにご注意ください。