Benedicam te.

WindowsクライアントからRSATで属性エディターを使い、uidNumber/gidNumberを直接編集することもできますが、間違いやすく、手間もかかるため、ldbmodfiyをつかって、編集したldifファイルにて直接変更する方法です。 ldbmodifyはldb-toolsにあるので、samba4 ad dc上でインストールしておいて下さい。samba4 ad dcをプロビジョンしたときに、--use-rfc2307としていることが前提です。また、下記例でのgidNumberの付与については、idmap config MYDOMAIN: range=10000-19999 とし、RIDに加算するベースとなるuidを18000にしています。(sambaのデフォルトグループのRIDは500番台(一部400番台)と1000番台で、18000に加算してもrangeの範囲を超えないため。) 無論 idmap config MYDOMAIN: backend = ad が前提です。（なおテスト用のrangeなので、rangeの範囲は比較的小さく、実際の運用では大きめのrangeを設定するべきだと思います。） ldifファイル自体は非常にシンプルです。AdministratorはRID=500でuid=18000+RID=18500, groupはDomain admins (RID=512) で gid=18512としました。(Guestは、RID=501, Domain GuestsはRID=514です。) mod-Administrator.ldif dn: cn=administrator,cn=Users,dc=mydomain,dc=site changetype: modify - replace: gidNumber gidNumber: 18512 - replace: loginShell loginShell: /usr/sbin/nologin - replace: uidNumber uidNumber: 18500 - replace: unixHomeDirectory unixHomeDirectory: /nonexistent mod-Guest.ldif dn: cn=guest,cn=Users,dc=mydo...

samba4 AD DCを、idmap config backend = adにして、最小ユーザとグループでファイル共有をテストしてみました。 要点としては、memberマシンから見たときに、userのuidNumberは無論のこと、gidNumberもidmap configの範囲内に設定する必要がある、と言うことです。 さらに、idmap config backend ad の場合、user だけでなく、groupも rangeで指定した範囲のgidNumberを付与し作成する必要がありました。 その為、Domain Users, Domain Adminsにも、gidNumberを付与する必要がある、ということになります。結論から言うと、ほかのアカウントやBuiltinアカウントに対しても、gidNumber付与が必要でした。 調べたところ、ほかにまとまった情報が見つからなかったので、idmap config backend = adでのuidNumber/gidNumber付与について以下、簡単にですが、手動での設定の手順を記しておきます。 ＝＝＝＝記＝＝＝＝ 1. idmap のrangeを決める。この時、信頼関係のあるドメインを使う場合も想定しておく。 例：idmap config MYDOMAIN : range = 10000-19999 2. domain usersとdomain admins の gid numberを、gidNumberを前述の 範囲で設定する。windows10の場合、属性エディターで設定できます。 (RSAT Active Directory ユーザとコンピュータにて、[表示]->[拡張機能]をクリックすると、プロパティー表示の際、属性エディターが表示されます。) 2-a. 他のグループを作成するときも, gidNumberを前述の範囲で設定する。gidNumberについては以下同じ。 例： domain admins: gidNumber=19512 domain users: gidNumber=19513 4 AdministratorのgidNumber,loginShell,msSFU30Name,msSFU30NisDomain,uid,uidNum...

samba4 では samba-tool domain join <dnsdomain> SUBDOMAINコマンドがあるものの、サブドメインを構成できませんでした。調べたのですが、どうやら現状サポートされていないようで( https://serverfault.com/questions/829681/samba4-possible-to-build-a-ad-forest )、サブドメインを単独で作成し、信頼関係（一方向、子ドメインから親ドメイン）を設定することで、対処してみました。 構成は以下の通りです。dom01.local/subdom01.dom01.localともにsamba4です。 なお、dom01、subdom01ともに、DNSはBIND9_DLZにて、互いのゾーンを名前解決できる状態になっていることが前提です。(例えば stubゾーンとして等。) 2021/04/17追記: BIND9_DLZのスタブゾーンによる名前解決は、mastersだけではゾーン転送されません。(BIND9_DLZ, 9.11.5, Debian10/Buster)そこでmastersに加えてforwardersを指定することで子ゾーンの名前解決ができました。具体的には以下の様にしています。 # /etc/bind/named.conf # 以下を追加 include "/etc/bind/subdom01.dom01.local.conf"; # /etc/bind/subdom01.dom01.local.conf zone subdom01.dom01.local { type stub; forwarders { 2WWW:XXXX:YYYY:ZZZZ::66; 192.168.2.66; }; masters { 2WWW:XXXX:YYYY:ZZZZ::66; 192.168.2.66; }; }; # コンフィグチェック sudo named-checkconf # bind9の再起動 sudo systemctl restart bind9 なお、子側は/etc/bind/named.conf....

samba4のAD/DCを作成したときに、unix id mappingについて、少しわかりにくかったので、メモとして挙げておきます。 samba4のDC(Domain Controller)は、メンバーマシンとは異なり、ad(rfc2307)やRIDによるunix id mappingがサポートされません。これは、sambaのwikiに記述されています。 https://wiki.samba.org/index.php/Configuring_Winbindd_on_a_Samba_AD_DC Identity Mapping works different on a Samba domain controller (DC) than on a domain member. For example, setting up an ID mapping back end, such as  ad  (RFC2307) or  rid , in the  smb.conf  file is not supported an can cause the  samba  service to fail. 基本的にはDCサーバでは、adやridによるUID/GIDマッピングサービスはサポートしないが、winbindをDCで走らせuid/gid マッピングを使う場合、以下のようになっている様です。 To run  Winbindd  on a Samba Active Directory (AD) domain controller (DC), in most cases no configuration in the  smb.conf  file is required. User and group IDs, are loaded from Active Directory (AD) or automatically generated locally. For details, see  Identity Mapping on a Samba Domain Controller . On a Samba DC, only th...