Добрый день!
Есть файловый сервер не в домене. Можно ли как-то настроить авторизацию доменных пользователей для доступа к файлам\папкам по сети и права на доступ на эти папки\файлы.
Samba вроде так может, но использовать Linux не очень удобно.

Active Directory Federation Services (AD FS) должно помочь.
Можно ещё Active Directory Lightweight Directory Services (AD LDS) с синхронизацией юзеров из AD, но это думать.

AD FS требует, чтобы компьютер был членом домена. А мне нужно, чтобы на компьютере не входящем в домен можно было авторизоваться по доменным учеткам.

Active Directory Federation Services (AD FS) должно помочь. »
не должно

AD FS требует, чтобы компьютер был членом домена. »
не требует
просто оно не для файл-серверов

Можно ли как-то настроить авторизацию доменных пользователей для доступа к файлам\папкам по сети и права на доступ на эти папки\файлы.
Samba вроде так может, но использовать Linux не очень удобно. »
вы путаете авторизацию и аутентификацию

Лучше поясните тайный смысл всего этого. Сейчас это звучит как "включить в домен не включая".

вы путаете авторизацию и аутентификацию »
Видимо, нужно и то и другое.

Лучше поясните тайный смысл всего этого. Сейчас это звучит как "включить в домен не включая". »
Я понимаю, что требования несколько странные, но смысл в том, чтобы предоставить ТОЛЬКО доступ к файлам доменным пользователям не давая прав на сервер админам домена.

Можно, если ты заведешь, этих пользователей локально »
Пользователи периодически меняют пароли (в AD). Как синхронизировать локальную базу учеток с доменной?

Чтобы все вбивали доменные пароли в неподконтрольный администраторам домена сервер? - так себе затея.

Чтобы все вбивали доменные пароли в неподконтрольный администраторам домена сервер? - так себе затея. »
Так я ж этого и пытаюсь избежать.
Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать?

Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать? »
Можно. Делай файловый сервер на Линуксе. Возьми какой-нибудь дистрибутив типа FreeNAS, разработанный специально под помойку для файлов.

Делай файловый сервер на Линуксе »
Винда интересует

Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать? »
нельзя

Либо выводить это файловый сервер в отдельный лес и настраивать доверие. Тогда получится и пользователей авторизовывать через Kerberos, и доменным админам не дать никаких возможностей управления.

Можно. Делай файловый сервер на Линуксе. »
в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs

Тогда у тебя два варианта:

Ввести компьютер в домен
Достать бубен, найти напильник и гуглить варианты, как можно из AD не имея доступа к хешу паролей его таки получить и потом синхронизировать с локальными логинами.

в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs »
Ну эти пароли не в открытом же виде передаются? Или я ошибаюсь?

Ну эти пароли не в открытом же виде передаются? »
считайте, что в открытом

в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs »
А может на КД будет передаваться хеш пароля введённого на Линуксе и КД уже будет сравнивать два хеша, после чего говорить линуксовому сервер, что пароль верный или нет?

Ну эти пароли не в открытом же виде передаются? Или я ошибаюсь? »
Пароли не хранятся в открытом виде, только их хеши.

Пароли не хранятся в открытом виде, только их хеши. »
Вот именно!
Есть только два принципа аутентификации по паролям: PAP и CHAP
По PAP передаются пароли как есть, зато могут храниться хэши.
По CHAP на сервере хранится пароль как есть, зато сторонам достаточно обменяться признаками его знания - хэшами.

А может на КД будет передаваться хеш пароля введённого на Линуксе и КД уже будет сравнивать два хеша »
нет никакого смыла в просто хэше
то же самое, что вы "на калькуляторе" посчитаете md5 и будете вместо pAs$w0rd вводить ec24b3911030239ffcad7f49609ef6be
это подмена понятий

Busla, в AD пароль не храниться, там хранится только хеш.
И да, LM/NTLM - это протоколы которые юзает AD.