Возможность учета вложенности групп в Active Directory

Текущее поведение:
пользователь vasya находится в группе top.
Которая уже наследует от себя группу dev.
Которая уже наследует от себя гпурру man

Запрос по ldapsearch показывает только группу top. А наследуемые группы -- нет.
В testops указана группа man для пользователей с ролями "admin" (или "user").
Дефотлная роль у пользователей -- guest.
Каждый новый логин (ре-логин) дропает роль на один пунтк, покуда не оказывается пользователь с ролью guest. Хотя обязан быть admin.

КАк должно быть:
testops должен знать о наследуемых группах в AD и по ним подтягивать роли.

W/A:
Явное добавление пользователей в группы, которые в testops регулируют роли пользователей.