Vários meses depois de você ter perguntado, mas a resposta correta é que você remove todas as informações de domínio do grupo. Todas as informações são definidas e extraídas pelo SSSD automaticamente.
A única falha que vejo em alguns dos seus exemplos é que você escapou do espaço com um ^.
Um grupo do AD de Enterprise Admins
teria uma linha de sudoers que começa com
%Enterprise\ Admins
Por exemplo, se seu domínio for example.com
, a linha de sudoers será
%Enterprise\ [email protected] ALL=(ALL) ALL
Você pode verificar isso procurando chamar getent no grupo.
getent group Enterprise\ Admins