In Windows-Domänen lassen sich Benutzergruppen nahezu beliebig ineinander verschachteln. Das kann zu Problemen führen, wenn diese Gruppen-Strukturen für Zugriffsberechtigungen unter Linux-Systemen (z.B. beim Zugriff über Samba) verwendet werden sollen: Unter Linux sind ineinander verschachtelte Gruppen nicht erlaubt.

Hier muss der winbind die im AD verschachtelten Gruppen auflösen, bevor die Gruppenliste per nsswitch an das System weitergegeben wird. Für diese Funktionalität sind zwei Parameter im „[global]“-Abschnitt der smb.conf notwendig:

winbind nested groups   = Yes
winbind expand groups   = 4

Der Parameter „winbind expand groups“ beschreibt, wie tief winbind verschachtelten Gruppenstrukturen folgen soll – in diesem Beispiel also maximal vier Ebenen tief.

Testen lässt sich das ganze am besten per „getent group“ – hier sollten verschachtelte Gruppen mit allen enthaltenen Benutzern (direkt oder indirekt) aufgelistet werden.