O mapeamento do nome LDAP foi alterado entre o Win2K3 e o 2K8. O novo mapeamento (para aplicar em /etc/ldap.conf) é:
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet
Por favor, deixe-me saber se isso ajuda. Você pode ter que migrar os usuários antigos também - eu usaria o ldapsearch e compararia usuários novos e antigos (mas acho que eles terão apenas os dois atributos, se bem me lembro)