Ответ 1
В LDAP ваше полное DN (необходимое для привязки) может быть чем угодно и часто может меняться. Изменение имени (поскольку AD по умолчанию имеет полное имя, отображаемое CN в DN), или изменение может изменить его. Поэтому ожидать, что люди войдут в систему с полным DN, не будут работать.
Таким образом, бэкэнд-система регистрируется в анонсе, ищет какой-то уникальный лакомый кусочек. Как электронная почта, или имя пользователя или что-то еще, находит надлежащее DN, а затем пытается войти в систему с предоставленным паролем.
Или иначе вы используете учетную запись службы для вашей бэкэнд-системы вместо анонимных привязок.