Спасибо, работает, однкао
необходимо видеть эти 2 ОU одновременно.
Те образно пользователи лежат в OU=people а группы к ним в OU=group.
Если эти 2 OU будут указаны в 2 разных настройлках AD то группы будут отдельно от пользователей, те авторизация проходить не будет вообще.
Еще чуть чуть и начну искать и переписывать исходники
Попробовал создавать в OU people группы и вкладывать в них группы из OU group... не катит, не видит он вложенные группы(
Может что с фильтрами еще попробовать посоветуете?