Seu amigo está potencialmente correto:
Se o seu Mac estiver configurado para ligar para obter seu caminho de pesquisa de diretório automaticamente, ele poderá se vincular a um servidor LDAP fornecido por DHCP. O perigo aqui é que root é root, o MacBook não percebe que não é a conta root de seu diretório LDAP "doméstico" e o trata felizmente como se fosse.
Se você definir o caminho de pesquisa de diretório como customizado, ele se ligará apenas aos servidores LDAP que você especificou e evitará totalmente o problema.
Além disso, como você mencionou, se você não precisa de LDAP - por exemplo, se você autenticar em um domínio do Windows AD ou apenas tiver uma conta local, você pode desmarcar a caixa LDAP v3.
Consulte o capítulo 2 do Guia de administração do OpenDirectory para obter mais informações.