Кликаем слева Authentication → Dashboard → Add.
Type → LDAP
Name - имя сервера, которое будет использовано в рамках Netscaler.
.
.
.
Дальше все банально.
В BaseDN пишем OU-шку из котрой будем брать пользователей. Например -

CN=Users,DC=domain,DC=com

В Other Settings пишем:
Server Logon Name Attribute →

sAMAccountName

Search Filter →

memberOf=CN=UserGroup,CN=Users,DC=domain,DC=com

ВАЖНО, что строку Search Filter пишем без кавычек или скобок (вопреки ранним гайдам, где нужно было ставить две пары кавычек или скобки).
UserGroup - это группа, в которой будет осуществлен поиск объектов пользователей.
Если нужно делать поиск по вложеным группам -

memberOf:1.2.840.113556.1.4.1941:=CN=UserGroup,CN=Users,DC=domain,DC=com

Group Attribute →

memberOf

Если не назначить значение Group Attribute, то пользователи смогут аутентифицироваться и залогиниться, но Netscaler не сможет получить их принадлежность к группам и, соответственно, не сможет сопоставить имя группы в AD с именем группы в своей конфигурации и не даст никаких прав. Sub Attribute Name →

cn

SSO Name Attribute →

cn

Кликаем слева System → Authentication → Basic Policies → LDAP → Add
Вводим имя - ldap-service-policy.
Выбираем созданный ранее сервер.
В поле Expression руками вводим

ns_true

Жмем ОК

В окошке с политиками где у нас видна политика ldap-service-policy жмем кнопку Global Bindings.
Выбираем политику - жмем Click to select ставим переключатель на политику и жмем кнопку Select.
И жмем кнопку Bind.

Кликаем слева System → User Administration → Groups → Add.
В Group Name вводим имя группы в точности так как оно есть в AD.
Для того, чтобы дать группе права в поле Command Policies жмем Bind и ставим галочки с соотвествующими правами. Например - superuser. Завершаем процесс - кликаем Create.