Возможности после включения Linux машины в домен AD

ничего не будет, ldap вместо /etc/passwd

откуда фантазии?

ничего кроме аутефикации пользователя, причем не факт что на шаре он сможет правильно работать с файлами и папками, т.е при работе создавать удалять и редактировать и еще не портить права. Ни о каких развертываниях, груповых политеках и тп речи вообще не может быть.

Стоит настроить для возможности обновлять имя в днс секурно, если адрес не статичный. Для этого самба не обязательна, хватит сссд

Тогда дополнительный вопрос. SSH как-то связан с включением машины в домен? Или если использовать скажем PuTTY с винды, то можно коннектиться к линукс машине вне зависимости от того, в домене она или нет?

Спасибо. Тогда можно еще ваше мнение по поводу моего комментарии о SSH?

Спасибо. Хотелось бы еще и ваше мнение по поводу моего комментарии о SSH выше.

И еще вопрос. ACL списки для настройки прав доступа, если я правильно понял, подходят только для разграничения доступа между линукс пользователями? А чтобы указать права доступа для пользователей из AD, нужно настраивать PAM?

по умолчанию нет, можно ли сделать аутификацию через АД не знаю. Про пути - да можно.

ПАМ это вообще не в ту степь

Механизм PAM объединяет множество низкоуровневых схем аутентификации в API высокого уровня, позволяющий создавать приложения, использующие аутентификацию независимо от применяемой схемы аутентификации.

На счет «ПАМ не в ту степь» странно. Прочитал, что права для подключения пользователей из AD как раз задаются в настройках файла /etc/security/pam_winbind.conf, где в качестве параметра require_membership_of указывается SID группы пользователей с AD, которой разрешается доступ. Т.е. написано, что по умолчанию все пользователи с AD будут иметь доступ на машину, и чтобы ограничить для группы надо указать данный параметр.

Это для логина и других вещей, а для прав в ФС достаточно, чтобы через NSS получались правильные id пользователей и групп, хоть через winbind, хоть ldap. Файловый ACL просто работает, а для PAM, SSHd и т.п. лучше организовать управление конфигурациями.

Честно сказать не очень понятно, особенно про winbind и ldap. Из инета: Winbind - это демон («служба» в терминах Windows), работающий на клиентах Samba и действующий как прокси для связи между PAM и NSS, работающими на компьютере Linux, с одной стороны, и Active Directory, работающей на контроллере домена, с другой.

По сути winbind дает возможность получать (брать) данные об учетных записях из AD по ldap.

Я бы и сам все это проверил простым экспериментальным методом и понял, но такой возможности нет, а теоретическое понимание нужно сейчас.

И еще вопрос: можно подключить по RDP с windows к linux используя для этого штатное ПО винды?

Пам - это апи для аутентификации, которая с помощь неких шаблон позволяет прозрачно производить аутификацию различных служб, керберос лдап виндбинд и прочего. Остальное в его обязанности не входит, он даже не сам проводит аутентификацию - это слой абстракции. Вот правильно настроенный клиент cif (это samba) позволит вам цепляться к виндовым шарам и при правильной настройки не ламать виндовые акл при работе с файлами.

Лучше все-таки сделай себе пару виртуалок и попробуй. Или попроси, может кто-то доступ даст. Быстрее разберешься, даже если не успеешь к рабочему виду привести.