Sua pesquisa, com base no AuthLDAPURL adicionado nos comentários (edite-o na pergunta, por favor) está no Catálogo Global (a porta 3268), que mostra todos os usuários na floresta do Active Directory, mas pesquisa usando o atributo sAMAccountName , que é apenas globalmente único dentro de um único domínio.
Portanto, altere seu AuthLDAPURL de:
ldap://domain.com:3268/DC=com?sAMAccountName?sub
para algo mais como:
ldap://domain.com:3268/DC=com?userPrincipalName?sub
E diga às pessoas para fazerem o login com o UPN, que seria [email protected]
Agora, se você quiser fazer login com um valor mais simples, precisará descobrir uma maneira de distinguir os usuários por algo verdadeiramente único.
O e-mail provável é único, então você pode alterá-lo para:
ldap://domain.com:3268/DC=com?mail?sub
Assim, eles precisariam efetuar login especificando o e-mail.