Eu encontrei uma resposta sozinho:
O lugar real para o pipe privilegiado do Winbind é / var / lib / samba / winbindd_privileged ( NÃO / var / run / samba / winbind_privileged )
Em Jessie, ele é propriedade de root: root e tem direitos: 0750
Eu alterei a propriedade:
chown root:winbindd_priv /var/lib/samba/winbindd_privileged/
Agora tudo funciona bem sem "cache_effective_group"
PS. Finalmente, há um bug relatado em 2014 :) link que ainda não foi corrigido