SAMB権限ではWindows経由でグループを追加できない

tag-icon tag-icon windows samba centos-7 kerberos
SAMB権限ではWindows経由でグループを追加できない

私はSambaの初心者で、ドメインユーザーに共有へのアクセスを許可する際に問題を抱えています。Sambaサーバー(Centos 7)をドメインメンバーとしてADにリンクしました。コマンド# realm listは正しい情報を表示しますが、ID usernameは正しい情報を表示しません。しかし、net ads user -U admin -I serveripはすべてのドメインユーザーを表示します。Windowsで共有権限を開き、ドメインユーザーのグループオブジェクトを追加しているときに、次のようにログインします。[メールアドレス](ただし、他のドメイン管理者はログインできないため、これは認証を実行していないと思います) [OK] をクリックすると、mydomain\ ドメイン ユーザーが入力され、ドメインを使用していることが認識されますが、[適用] をクリックするとアクセスが拒否されます。 conf を貼り付ける必要がある場合はお知らせください。関連すると思われるものを添付しました。

smb.conf

See smb.conf.example for a more detailed config 
file or
read the smb.conf manpage.
Run 'testparm' to verify the config is correct 
after
you modified it.

[global]
workgroup           = GBZ
security            = ADS
realm               = GBZ.COM
#netbios name           = smb.gbz.com   
password server         = AD.GBZ.COM
log file            = /var/log/samba/log.%m
max log size            = 50
unix extensions         = No
client signing          = required
local master            = no
domain master           = no
template homedir        = /home/%U
template shell          = /bin/bash

winbind separator       = +
winbind use default domain  = yes
winbind nss info        = rfc2307

idmap config * : range      = 16777216-33554431
idmap config * : backend    = ad.gbz.com
cups options            = raw
root preexec            = /usr/local/sbin/mkhomedir.sh %U
usershare allow guests      = yes
os level            = 20
map to guest            = bad user
host msdfs          = no 
vfs objects             = acl_xattr
map acl inherit         = yes
store dos attributes        = yes


[cnc]
path        = /srv/samba/cnc
browseable  = yes
writable    = yes
guest ok    = yes
read only   = no
public      = yes
valid users     = @"GBZ+Domain Users"
admin users     = @"GBZ+Domain Admins" 

[public]
path        = /srv/samba/public
browseable  = yes
writable    = yes
guest ok    = yes
read only   = no
public      = yes 
valid users     = @"GBZ+domain users"
admin users     = @"GBZ+Domain Admins" 


[hr]
path            = /srv/samba/hr
comment         = Sensitive infomation, authorization is required.
read only       = no

[homes]
comment     = Home Directories
valid users     = %S, %D%w%S
browseable  = No
read only   = No
inherit acls    = Yes

krb5.conf

# Configuration snippets may be placed in this directory as well

includedir /var/lib/sss/pubconf/krb5.include.d/

[libdefaults]
ticket_lifetime     = 600
defualt_realm       = GBZ.COM
dns_lookup_realm    = false
dns_lookup_kdc      = true

defualt_tkt_enctypes    = des3-hmac-sha1 des-cbc-crc
defualt_tgs_enctypes    = des3-hmac-sha1 des-cbc-crc


[realms]
GBZ.COM = {
    defualt_domain = gbz.com
}

 [domain_realm]
    .gbz.com = GBZ.COM
     gbz.com = GBZ.COM
 [kdc]
     profile = /etc/krb5kdc/kdc.conf
[logging]
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmin.log
     defualt = FILE:/var/log/krb5lib.logog

nsswitch.conf

 passwd:     compat files winbind
 shadow:     compat files winbind
 group:      compat files
 #initgroups: files sss


 bootparams: nisplus [NOTFOUND=return] files

 ethers:        db files
 netmasks:      db files
 networks:      db files
 protocols:     db files
 rpc:           db files
 services:      db files 

 netgroup:   nis

 publickey:  nisplus

 automount:  files sss
 aliases:    files nisplus

あらゆる助けをいただければ幸いです

関連情報