È così che l'ho sempre fatto, non sono sicuro di dove l'ho letto.
Per avere la maggior parte delle opzioni ACL di Windows sulle tue condivisioni Samba connesse ad AD, devi abilitare sia ACL POSIX che XATTRS:
/dev/sda2 /samba ext3 user_xattr,acl 1 2
E nel tuo smb.conf devi abilitare idmapping, nt acls e mappatura degli attributi in questo modo:
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431
nt acl support = yes
inherit acls = yes
map acl inherit = yes
map archive = no
map hidden = no
map read only = no
map system = no
store dos attributes = yes
inherit permissions = yes
Quindi tutto ciò che devi fare è definire l'utente amministratore per la condivisione e con quell'utente modificare le impostazioni di sicurezza da Windows.
[public]
path = /share/Public
public = yes
writable = yes
printable = no
admin users = "DOMAIN\user"
Gli unici problemi potrebbero essere correlati agli ACL esistenti ("rinneghi" il root e trasferisci la proprietà al tuo utente Windows) e ai gruppi di utenti non mappati.
Per mappare manualmente i gruppi devi fare qualcosa del genere:
net groupmap delete ntgroup="Domain Admins"
net groupmap delete ntgroup="Domain Users"
net groupmap delete ntgroup="Domain Guests"
net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root
net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users
net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody
per gruppi di sicurezza integrati.
E poi per tutti i tuoi gruppi:
groupadd mygroup
net groupmap delete ntgroup="mygroup"
net groupmap add ntgroup="DOMAIN\mygroup" rid=1000 unixgroup=mygroup type=d
admin users
peracl group control
e insiemeforce group = +DOMAIN\Admin-group
, in questo modo è possibile avere più con autorizzazioni di amministratore.