Passei um dia inteiro pesquisando o mesmo assunto.
Aqui está o que eu encontrei e testei no Debian 9 + Samba AD DC 4.5.12
Para definir a permissão da pasta de compartilhamento, um grupo unix ou usuário local deve estar presente.
Opção 1: criar grupo com gid
Falha ao mapear o gid após a criação pelo net groupmap, mas foi capaz de mapeá-lo no momento da criação por
groupadd localgroupnamewithoutspace
cat /etc/group
samba-tool group add "Groupname with Space" --nis-domain=mydomain --gid-number=corresponding gid we just saw in /etc/group
chgrp localgroupnamewithoutspace /path/of/share
chmod 0770 /path/of/share
Opção 2: pesquisar o grupo AD
O grupo Unix não permite espaço, portanto, o grupo de diretórios configurado para gid funcionará.
No entanto, ao fazer ls -al, ele mostrará o número gid não o grupo AD ou o nome do grupo Unix. Isso pode ser um problema se vários grupos forem aninhados e atribuídos no mesmo diretório pai de compartilhamento grande.
wbinfo --name-to-sid "AD Group name with space"
wbinfo --sid-to-gid "copy from the ouput above"
ele deve se parecer com isso e você só precisa desta parte S-1-5-21-53980404-2501955692-3283166571-512
então use o número gid ao definir a permissão por chgrp, chmod.
Anotado, O acima apenas cuida do mapeamento do grupo AD e do grupo Unix, a ACL real e a permissão do membro do grupo ainda precisam ter a configuração adequada do SeDiskOperatorPrivilege e depois configurada pelo Cliente Windows com a conta SeDiskOperatorPrivilege no File Explorer e ADUC.
editado: erro de digitação