Se você não quiser que os logins do AD sejam usados para qualquer coisa relacionada ao Samba, você pode alterar o modo de segurança do Samba para permissões de "usuário" ou até mesmo de "compartilhamento"? Dessa forma, você pode aproveitar suas contas internas para o Samba, mas manter as informações do AD para logins. Ou talvez eu tenha entendido mal o que você está perguntando.
Eu tenho contas locais em meus servidores, mas também uso o AD para o Samba. O que acabo fazendo é bloquear os compartilhamentos até o nível do grupo com as permissões do AD usando esses parâmetros nos compartilhamentos:
valid users = "+AD\Group Name"
force group = "+AD\Group Name"
Dessa forma, outros usuários não podem nem mesmo navegar pelo conteúdo dos compartilhamentos. Parece que também homenageia os grupos aninhados, por isso podemos fazer com que os grupos do AD sejam membros de outros grupos e, assim, ser muito granular no que abrimos aos utilizadores.