Intenté varias veces sin éxito definir un GPO en mi Samba DC a través de la "Administración de políticas de grupo" de RSAT usando la cuenta de administrador "adam1". "adam1" es miembro de los grupos : Administrators, Domain Admins, Domain Users, Enterprise Adminsy .G.P. Creator OwnersSchema Admins
Si defino el GPO usando la cuenta "Administrador", funciona. Lo que significa que la política se extiende a otras computadoras del dominio y se ejecuta correctamente. (Lo más sencillo, un mensaje al iniciar sesión).
Preferiría darle a un administrador en particular la capacidad de definir GPO y dejar en paz al administrador genérico 'Administrador' tanto como sea posible.
Después de intentar definir un GPO usando la cuenta 'adam1', veo dc1 $> journalctl -u samba-ad-dc.service:
dc1 winbindd[30459]: [2020/12/05 17:08:07.569375, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: apply_gp(lp, creds, test_ldb, logger, store, gp_extensions)
dc1 winbindd[30459]: [2020/12/05 17:08:07.569383, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: File "/usr/lib/python2.7/dist-packages/samba/gpclass.py", line 4
dc1 winbindd[30459]: [2020/12/05 17:08:07.569401, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: for gpo_obj in gpos:
dc1 winbindd[30459]: [2020/12/05 17:08:07.569409, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: TypeError: 'NoneType' object is not iterable
Instalé Samba a través de paquetes en Debian 10.5 y lo configuré siguiendo Samba Wiki.