Я думаю, что утверждение LDAP неверно. Я не знаю ни одного конкретного протокола для авторизации, он работает так:
Авторизация пользователя Active Directory защищает ресурсы от несанкционированного доступа. После процесса аутентификации пользователя тип фактически предоставленного доступа определяется тем, какие права пользователя назначены пользователю и какие разрешения прикреплены к объектам, к которым пользователь хочет получить доступ. С каждым объектом связаны списки контроля доступа.
DACL - Список контроля доступа (DACL) определяет список учетных записей пользователей, групп, которым разрешен или запрещен доступ к определенному объекту.
SACL - Системный список контроля доступа (SACL) определяет такие операции, как чтение, запись или удаление, которые должны проверяться для пользователя или группы.
Каждый список состоит из записей управления доступом, которые перечисляют разрешения, разрешенные или запрещенные для пользователя или группы. Каждый раз, когда пользователь входит в систему, для него создается токен доступа. Маркер доступа состоит из индивидуального SID, группового SID и прав пользователя.
Когда пользователь запрашивает доступ к определенному объекту, отдельный SID и SID группы в маркере доступа сравниваются с записями DACL, чтобы определить, не был ли пользователю явно запрещен доступ. Затем он проверяет, может ли запрошенный доступ быть конкретно разрешен. Эти шаги повторяются до тех пор, пока не будет получен доступ или пока не будет собрано достаточно информации для предоставления доступа к ресурсу.