«Группы пользователей» - это обычное понятие в UNIX, многие дистрибутивы Linux (например, Debian) используют его по умолчанию. Это означает, что у каждого пользователя есть соответствующая частная группа (например, пользователь «alex» также имеет группу «alex», которая является его основным GID).
Теперь, когда у вас есть база данных пользователей в LDAP (например, openldap и используйте libnss-ldap), есть ли что-то неправильное, создавая только один объект для каждого пользователя и назначая ему класс (-ы) объекта для пользователя (например, posixAccount, shadowAccount, sambaSamAccount) и класс для группы (например, posixGroup) одновременно?
IIRC обязательный атрибут для posixAccount objectClass - это gidNumber а в системах Linux ему не нужно преобразовывать gidNumber в более удобочитаемое имя группы; в любом случае ваша система переводит номер GID в имя только для удобства пользователя.
Это не значит, что вы не получите предупреждений ...
Что касается добавления как objectClass=posixAccount и objectClass=posixGroup к тому же DN? Не знаю, сможете ли вы и будет ли это работать. Априори я не понимаю, почему не по техническим причинам, но тестирование решит это.
Я рекомендую идти против условностей: всегда будет кошмаром поддерживать ...