Ubuntu Server 20.04 и домен Windows Server 2008 R2

[libdefaults]
    default_realm = ORG.DOMAIN.LOCAL
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    v4_instance_resolve = false
    v4_name_convert = {
            host = {
                rcmd = host
                ftp = ftp
            }
            plain = {
                 something = something-else
            }
    }
    fcc-mit-ticketflags = true

[realms]
    ORG.DOMAIN.LOCAL = {
            kdc = server.org.domain.local
            admin_server = server.org.domain.local
            default_domain = ORG.DOMAIN.LOCAL
    }

[domain_realm]
    .org.domain.local = ORG.DOMAIN.LOCAL
    org.domain.local = ORG.DOMAIN.LOCAL
[login]
    krb4_convert = false
    krb4_get_tickets = false

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         files
gshadow:        files

files:          dns mdns4_minimal[NotFoud=return] mdns4

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без последней секции после точки, а realm - полное имя домена
   workgroup = ORG.DOMAIN
   realm = ORG.DOMAIN.LOCAL

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   #encrypt passwords = true # DEPRECATED
   # Просто важные.
   dns proxy = no.
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе, или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   #idmap uid = 10000 - 40000 # DEPRECATED
   #idmap gid = 10000 - 40000 # DEPRECATED
    idmap config * : range = 10000-20000
    idmap config * : backend = tdb
   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить..
   winbind use default domain = yes
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
   # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
   winbind refresh tickets = yes
   winbind offline logon = yes

   ntlm auth = yes

   server signing = auto

[opt]
    comment = opt
    path = /opt
    public = yes
    read only = no
    guest ok = no
    valid users = adm linux