Você poderia usar o SID (objectSID) para isso. Ele persistirá, a menos que uma nova conta seja criada ou as contas sejam migradas para um domínio diferente.
Se você quiser algo menor, você pode usar apenas o último grupo de números do SID, assumindo apenas um domínio, já que os três anteriores são apenas para identificar o domínio, e o bloco antes disso é apenas para mostrar que é um SID do AD do Windows.
Você também pode usar o objectGUID para isso, suponho.