Na verdade, eu tenho essa configuração na minha estação de trabalho Ubuntu no escritório para que eu não precise usar o Windows, mas ainda assim autenticar os domínios do AD. Temos vários domínios confiáveis, por isso limitei-os ao domínio principal do AD usado para logins de estações de trabalho. Acredito que encontrei todas as entradas relevantes, por isso, se tiver algum problema, avise-me e procurarei outras pessoas que possam estar dispersas na configuração.
idmap uid = 2000-50000000
idmap gid = 2000-50000000
idmap backend = rid:DOMAIN=2000-50000000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
allow trusted domains = No
password server = FQDN-of-AD-Server
use kerberos keytab = true
Em outras palavras, eu tive que ter certeza de que o Samba e o Winbind estavam quase no final para poder autenticar depois que o sistema foi reinicializado.