Das ist unser Userfilter:
(&(objectclass=user)(memberOf:1.2.840.113556.1.4.1941:=[dn der Gruppe]))
Das unsere Einstellungen für Rollen
Bei Rollen und Kontaktgruppen kannst du mit den Gruppen DNs arbeiten, warum auch nicht? An dem Punkt arbeitest du natürlich nicht mit memberof weil du eben angibst AD Gruppe XY entspricht Rolle XY. Nested Groups wären ja Witzlos wenn man über das MemberOf Attibut arbeitet, da ist ja dann nichts nested wenn die direkte Gruppenmitgliedschaft besteht und mit AGDLP würde es sich auch nicht vertragne.