Не надо менять тип ваших 500 пользователей - это бессмысленно, потому что тип пользователя в Аксапте должен соответствовать типу объекта в AD. По приведенной ссылке описан предположительно ваш случай:
- надо создать пустую группу AD;
- добавить ее как пользователя в Аксапту и назначить ей нужные роли;
- затем добавить в эту группу AD ваших доменных пользователей, которые уже логинились в Аксапту и имеют свои назначенные роли
после этого, если верить публикации, при следующем входе пользователям из группы AD будут назначены другие роли - те, что назначены группе, в которую они включены. Также обратите внимание на предложенный в публикации рецепт: создать отдельную группу AD, которой в Аксапте назначить только роль "Пользователь системы", и еще отдельные группы AD, которым назначать в Аксапте прочие роли. Тогда при исключении пользователя AD из группы, которой в Аксапте назначена роль "Пользователь системы", у соотв. пользователя в Аксапте также будет удалена эта роль, а без нее он не сможет нормально работать.