Меняем логин - регимся заново.

[(:Pro:)]

Доменный пользователь, зарегистрировался через "LDAP логин" Зашёл, сменил себе логин, на белеберду. И может заново зарегистрироваться через "LDAP логин", причём система возьмём тот же email!

[support]

да, сейчас проверка идет только по логину,
наверное нужно добавить опцию что бы запретить смену логина?

[(:Pro:)]

Такс... по идеи логин и пароль вообще не надо хранить в руководители, при первом входе из домена по имени пользователя извлекается его SID и на его основе заполняются сведения о пользователи... И все задачи в системе ведутся по этому номеру, в идеале каждый раз при входе происходит поиск по домену для соотаюветствия с логином, а для поиска используется логин и пароль входящего, тогда данные будут всегда актуальные, посмотрю модно ли такое реализовать на PHP, домой доеду.

Пока как костыль можно запретить смену логина.

[(:Pro:)]

Ой, пардон! не UIN а SID

[(:Pro:)]

Так, я смотрю что с помощью PHP можно получать любые объекты из AD. Алгоритм мне представляется таким:
1. Пользователь указывает логин и пароль.
2. "Руководитель" берёт логи и пароль в качестве данных для авторизации в домене (возможно нужно будет указать имя домена для авторизации не из сети, отдельно задать в настройках "Руководителя").
3. Потом ищет SID пользователя по его логину.
4. Проверяет базу пользователей в "Руководители" на наличие этого SID
4.1 если он есть использует её, обновляя данные в строках указанных для заполнения из АД (имя, фамилия, почта, телефон, и т.д. смотря какие данные для пользователей ты создал (я про это писал ранее).
4.2 Если пользователя нет, то создаёт нового.

Таким образом данные всегда будут актуальны. И будет не важно, сменил пользователь корпоративную почту, фамилию, ещё что-то. По мне так вообще блеск Уверен, что для небольших организаций и высокоскоростных сетей это не будет проблема. Готов помочь в тестировании.