FessのActive Directory連携時のセキュリティについて

FessのActive Directory連携時のセキュリティについてのご質問です。
(AD連携での検索時の処理の流れについての質問)

ADにて登録されているユーザでログインして、検索する際に、
Fessからelasticsearchへクエリを投げていると思うのですが、
クエリの中のそのユーザのグループ情報(例えば「2groupA」など)は、
ユーザ名、パスワードを入力にADドメインから取得している、という理解でよろしいでしょうか?

通常のユーザが「2groupSecret」など、そのユーザが持っていない権限を付与して
Fess<–>ブラウザ間の通信を誤魔化すことで不正に情報検索できないということを確認したいです。

LdapManagerあたりを読んで確認していただければ良いと思います。
気になることなどあれば、商用サポートにご相談いただければと思います。

ソースコードの該当箇所の提示ありがとうございます。
確認してみます。