Não, você não deveria. O LDAP é fundamental para muitos processos no Active Directory. Por exemplo:
- Quando você executa um logon interativo em um cliente, o cliente executa uma série de pesquisas de DNS para determinar o melhor controlador de domínio e executa uma série de testes no tcp / 389.
- O esquema do Active Directory é baixado para o cliente usando o LDAP no tcp / 389.
- O Cliente de Política de Grupo usa LDAP para recuperar o componente de informações de política armazenado no Active Directory.
- Muitas das ferramentas de linha de comando e ferramentas de gerenciamento integradas ao sistema usam LDAP (Usuários e Computadores do Active Directory, Serviços e Sites do Active Directory, etc.).
- Uma tonelada de outras coisas.
É bastante fácil executar uma captura de pacotes de rede para confirmar isso.
Parece que você pode estar confundindo o NTLM com o Kerberos. Pode ser possível usar o Kerberos no lugar do NTLM / 2, embora o cliente tentará retornar ao NTLM / 2 se a autenticação Kerberos não for possível.
Além disso, não é possível usar somente TCP / 636 de LDAPS no lugar de tcp / 389 se você tiver certificados instalados em seus controladores de domínio. Isso não forneceria nenhum benefício útil, já que o LDAPS é destinado principalmente a aplicativos que autenticam usando uma ligação simples (nome de usuário + senha).