Здравствуйте, столкнулся вот с какой проблемой:
Файл сервер на самбе не раздает права на шары юзерам из АД, причем авторизация работает нормально, wbinfo выдает все списки юзеров и групп, kinit получает билеты нормально. Сами шары видны, поддержку acl списков в самой системе настроил. Из виндов пытаюсь шаре добавить группу админов - пишет нет прав, подскажите где грабли!
smb.conf:
# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2007/05/23 15:04:20

[global]
display charset = koi8-r
ldap ssl = no
ntlm auth = no
hosts allow = 10.10.10.0/24 127.0
passwd program = winbind
winbind uid = 10000-20000
dns proxy = No
dos charset = cp866
workgroup = ALFA
security = ADS
usershare allow guests = yes
winbind separator = +
domainmaster = no
max log size = 50
lanman auth = No
log file = /var/log/samba/log.%m
map acl inherit = yes
client ntlmv2 auth = Yes
auth methods = winbind
client use spnego = yes
interfaces = stge0, vr0
encrypt passwords = yes
realm = ALFA.FAKE
winbind use default domain = yes
client plaintext auth = No
case sensitive = no
server string = Osvald
localmaster = no
password server = diogen
winbind enum users = yes
winbind gid = 10000-20000
acl group control = Yes
client lanman auth = no
winbind enum groups = yes
unix charset = koi8-r



[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No

[media]
writeable = yes
read only = no
guest ok = yes
path = /data/media
write list = @"enterprise admins",domainmaster

Часть проблемы решена: во фре назначил владельцем группу Enterprise admins из АД, теперь писать в папку могу но не могу назначать права с другой виндовской машины, залогинившись из группы Enterprise admins - после нажатия apply все права восстанавливаются так как были до изменения, блин! :)))

По ходу еще один вопрос если кто знает: от какого параметра зависит возможность добавления прав юзерам из АД на файлы и папки во FreeBSD???

winbind nested groups - по логике вещей.
поддержку acl списков в самой системе настроил
То есть сделал все примрно вот так, если FreeBSD: http://www.lissyara.su/?id=1460 ?

Ага все так сделал, в какой-то момент появилать возможность назначать АД-шные права на папки внутри FreeBSD и все раработало, но вдруг, О чудо эта возможность пропала, яперепробовал уже все опции из man smb.conf, но вернуть не получается.

Параметр добавили, который я указал выше?

Да, добавлял, видимо дело в чем-то еще, не могу понять как в самбе завязаны локальные и АД-шные права на папки и файлы, гуру отзовитесь!!!!!! )))))))

Всем спасибо за внимание ))))))))))) я разобрался.
winbind enum users = Yes
winbind enum groups = Yes
Дает указание Samba-модулю winbind вести учет пользователей и групп
вместо локальных системных вызовов setpwent(), getpwent(), рассматривать
пользователей без доменного имени перед именем пользователя
(DOMAIN\user) как пользователей, принадлежащих к данному домену