Суть проблемы:
Если доменный юзер AD включен в более чем 16 доменных групп в AD, то winbind видит только 16 групп AD. Таким образом, используя ACL и раздавая права на расшаренные ресурсы посредствам групп AD, некоторых пользователей, которые входят в большое кол-во групп могут не получить доступ у ресурсу.
Не знаю как с этим бороться!!!???

Далее показываю все что с этим связано:

Юзер входит только в одну группу в AD “пользователи домена”

# id trandov
uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена)

Включил этого юзера еще в 10 групп в AD.

id trandov
uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена)

Перестартуем samba целиком (как перестартовать только winbind – не знаю)
sh /usr/local/etc/rc.d/samba restart

Видно что появились 10 групп, которые я добавил.
# id trandov
uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена),10053(f024),10054(f070),10055(f110),10056(f115),10057(f118),10058(f125),10059(f128),10122(f118d),10153(f116),10154(f117)

Включил этого юзера еще в 10 других групп в AD.

# id trandov
uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена),10053(f024),10054(f070),10055(f110),10056(f115),10057(f118),10058(f125),10059(f128),10060(f129),10061(f130),10062(f131),10063(f132),10064(f140),10065(f155),10066(f1557),10067(f156)

и вот тут-то вся беда и заключается, что я ограничен только 16-ю группами в AD. Если юзер включен в бОльшее кол-во групп, то они не отображаются. Скорей всего у меня что не так сконфигурировано, но перепроверял все несколько раз.

Wbinfo –u – показывает всех юзеров домена
Wbinfo –g – показывает все группы домена

Далее привожу свои конфиги. Может у кого была такая проблема – просьба сообщить как Вы с ней справились.

# uname -a
FreeBSD greenstorage.mydomen.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May  1 08:49:13 UTC 2009     root@walker.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386

cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.8.1 2009/04/15 03:14:26 kensmith Exp $
#

group: files winbind
hosts: files dns nis winbind
networks: files winbind
passwd: files winbind
shadow: files winbind
shells: files winbind

# cat /etc/fstab
# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/amrd0s1b           none            swap       sw                     0           0
/dev/amrd0s1a           /                    ufs         rw                      1           1
/dev/amrd0s1e           /tmp             ufs         rw                      2            2
/dev/amrd0s1f           /usr               ufs         rw,acls               2           2
/dev/amrd0s1d          /var               ufs         rw                       2          2
/dev/acd0                   /cdrom          cd9660  ro,noauto           0          0

# cat /usr/local/etc/smb.conf.

[global]
        workgroup=MYDOMEN
        server string = Samba File Server
    security =ADS
        hosts allow =192.168.0., 127.
        log level = 0 vfs:1
        log file = /var/log/samba/log.%m
        max log size =500
    syslog=0
        password server =psi.mydomen.ru
        realm = MYDOMEN.RU
        encrypt passwords=yes
        socket options=SO_RCVBUF=8192 SO_SNDBUF=8192 TCP_NODELAY IPTOS_LOWDELAY
        idmap uid=10000-20000
        idmap gid=10000-20000
        winbind use default domain=yes
        winbind enum users=yes
        winbind enum groups=yes
    auth methods=winbind
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = cp866
    #ACL
    map acl inherit=yes
    inherit acls=yes
    inherit owner=yes
    inherit permissions=yes
    #ACL
        block size=4096
    deadtime=10
    follow symlinks=no
    getwd cache=yes
    hide dot files=yes
    wide links=no
        hide unreadable=yes
        case sensitive=no
        # CUPS
        load printers = no
        show add printer wizard = no
    printcap name = /dev/null
    disable spoolss = yes
          
[info]
        path=/usr/fileserver/info
        comment="Consultant, MosMap"
        create mask=0777
        directory mask=0777
        browseable=yes
        available=yes
        read only=no
        admin users="@MYDOMEN\администраторы домена"
        valid users="@MYDOMEN\пользователи домена"

[Dep]
        path=/usr/fileserver/dep
        comment="Данные отделов"
        create mask=0777
        directory mask=0777
        browseable=yes
        available=yes
        read only=no
        admin users="@MYDOMEN\администраторы домена"
        valid users="@MYDOMEN\пользователи домена"
        #recycle
        vfs objects = recycle full_audit
        recycle:repository = /usr/fileserver/dep/recycle
        recycle:keeptree = yes
        recycle:versions = yes
        recycle:exclude = *.tmp | *.TMP | ~$* | ~WRL*
        recycle:maxsize = 104805760

  ;          full_audit:facility=LOCAL5
  ;          full_audit:priority=INFO
            full_audit:failure = mkdir rmdir write unlink rename
            full_audit:success = mkdir rmdir write unlink rename
            full_audit:prefix = %m|%U

Оценю любую Вашу помощь. Спасибо.