т.е. в учётной записи есть поле "описание", там храню нужную информацию о записи (собственно где ещё как ни там чтоб под рукой было) которую простым пользователям видеть не надо. Любой юзер может получить список пользователей домена и посмотреть любые поля учётных записей, как то открыть диалог расшаривания папки/диска - добавить пользователя, а там уже видно на рисунке всё.
Не нужно хранить пароли пользователей в полях описания и вести там их "досье", это в первых строках.
А во-вторых, для этого есть есть средства настройки доступа в любом LDAP-каталоге, и особенно в AD, для чего идете в соответствующую оснастку и делаете нужные правила доступа.
В-третьих, для "особых случаев" существует возможность модификации схемы каталога, чтобы добавтиь нужные объекты и атрибуты, дабы не использовать не по назначению существующие. Но это отдельная песня, ибо все объекты и атрибуты в каталоге имеют уникальные централизованно распределяемые (вроде IANA, если не ошибаюсь) идентификаторы. Не сложно запросить собственный пул идентификаторов, но есть ли необходимость?
По кнопочке F1 на сервере есть полезная, возможно неисчерпывающая, информация.
ЗЫ. Как один из способов решения проблемы, нужно посмотреть на нее под другим углом, возможно вы идете не по тому пути.