Ось як я це завжди робив, не зовсім впевнений, де це читав.
Для того, щоб більшість опцій ACL для ваших акцій Samba були підключені до AD, вам потрібно включити POSIX ACL та XATTRS:
/dev/sda2 /samba ext3 user_xattr,acl 1 2
І у своєму smb.conf потрібно включити idmapping, nt acls та відображення атрибутів так:
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431
nt acl support = yes
inherit acls = yes
map acl inherit = yes
map archive = no
map hidden = no
map read only = no
map system = no
store dos attributes = yes
inherit permissions = yes
Тоді все, що вам потрібно зробити, - це визначити адміністратора користувача для спільної доступу та разом із цим користувачем редагувати параметри безпеки з Windows.
[public]
path = /share/Public
public = yes
writable = yes
printable = no
admin users = "DOMAIN\user"
Єдині проблеми можуть бути пов’язані з існуючими ACL (ви "відхилили" root та передаєте право власності на свого користувача Windows) та немапарованими групами користувачів.
Щоб зіставити групи вручну, потрібно зробити щось подібне:
net groupmap delete ntgroup="Domain Admins"
net groupmap delete ntgroup="Domain Users"
net groupmap delete ntgroup="Domain Guests"
net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root
net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users
net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody
для вбудованих груп безпеки.
А потім для всіх ваших груп:
groupadd mygroup
net groupmap delete ntgroup="mygroup"
net groupmap add ntgroup="DOMAIN\mygroup" rid=1000 unixgroup=mygroup type=d
admin users
щобacl group control
і набірforce group = +DOMAIN\Admin-group
, таким чином , ви можете мати кілька з правами адміністратора.