Tentei várias vezes, sem sucesso, definir um GPO no meu Samba DC através do RSAT "Group Policy Management" usando a conta de administrador "adam1". "adam1" é membro dos grupos: Administrators, Domain Admins, Domain Users, Enterprise Admins, G.P. Creator Ownerse Schema Admins.
Se eu definir o GPO usando a conta "Administrador", ele funcionará. O que significa que a política é espalhada para outros computadores no domínio e executada corretamente. (A coisa mais simples, uma mensagem no login).
Eu preferiria dar a um administrador específico a capacidade de definir GPO(s) e deixar de lado o administrador genérico 'Administrador', tanto quanto possível.
Depois de tentar definir um GPO usando a conta 'adam1', vejo dc1 $> journalctl -u samba-ad-dc.service:
dc1 winbindd[30459]: [2020/12/05 17:08:07.569375, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: apply_gp(lp, creds, test_ldb, logger, store, gp_extensions)
dc1 winbindd[30459]: [2020/12/05 17:08:07.569383, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: File "/usr/lib/python2.7/dist-packages/samba/gpclass.py", line 4
dc1 winbindd[30459]: [2020/12/05 17:08:07.569401, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: for gpo_obj in gpos:
dc1 winbindd[30459]: [2020/12/05 17:08:07.569409, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
dc1 winbindd[30459]: /usr/sbin/samba-gpupdate: TypeError: 'NoneType' object is not iterable
Instalei o Samba através de pacotes no Debian 10.5 e configurei seguindo o Samba Wiki.