ldap фильтр

Коллеги. добрый день.

Прошу помочь с ldap фильтрами в confluence 6.4.3

Есть ldap фильтр в рамках которого мы получаем список пользователей, которым предоставляем доступ к системе: 

"ldap.basedn": "DC=corp,DC=m2,DC=ru" - базовый DN

"ldap.group.dn": "OU=CONFL,OU=Groups" - дополнительный DN

"ldap.user.filter": "(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=sys confl active, ou=confl, ou=groups, dc=corp,dc=m2,dc=ru))" - фильтр вытягивает всех пользователей в том числе и из вложенных групп.

Проблема в том что есть тройная вложенность например группа А, входит в группу B, а она в свою очередь входит в Sys CONFL Active. Если указан дополнительный DN, то работает только двойная вложенность на пользователей, если же дополнительный DN убираем то все ок, пользователи добавляются со всеми группами доступа.