A kc egy értelmes (nem openldap) backenddel? Tudok olyanról, ahol a kc "mögé" egy AD van "bekötve", ott történik az userek/csoportok elsődleges kezelése, a kc meg egy "glue" az alkalmazásokban definiált jogosultsághalmazok (szerepkör) és az AD között. És ahogy hallottam, csak a group a groupban "nem megy".