igen, readonly user elvileg mindent lat, az Apache Directory Studio-val latom is a dolgokat, ezert tudom milyen a struktura.
raadasul ha a filternek kozvetlenul a cn-et adom meg, akkor visszakapom: '(&(objectclass=group)(CN=Test))'
Ha viszont barmi mast is megadok pl '(&(objectclass=group)(CN=Test,OU=Tech))' , akkor mar nem talal semmit. igy van az ldap magic, vagy az AD keres mashogy.