Smb/ldap : groupes dans plusieurs ou ?

Bonjour à tous,

J'aimerais me servir de mon ldap pour gèrer les administrateurs locaux des machines.
Ainsi au lieu de devoir chaque fois ajouter X, et Y, puis encore 3 semaines après , Z en tant qu'admin sur des machines, je pourrais simplement ajouter le groupe d'user qui travaillent sur la machine.
En plus je n'aurais ainsi pas besoin d'accéder à la machine.

Seulement j'aimerais séparer ces groupes des groupes "normaux"(utilisés pour les ACLs), et avoir par exemple un ou=ComputerAdmin. qui contiendrais les groupes utilisés dans ce but.

Seulement dans windows (xp) je ne peux pas ajouter, dans le groupe administrateurs de la machine de groupes du domaine se trouvant ailleurs que dans l'ou=Groups, quand bien même ou=ComputerAdmin se trouverait lui-même dans ou=Groups.

J'ai voulu spécifier plusieurs "ldap group suffix" dans smb.conf mais ça ne marche pas, là il ne me trouve plus aucun groupes(même pas ceux de ou=Groups).
J'ai également essayé de ne spécifier aucun "ldap group suffix", là il retrouve les groupes ou=Groups mais pas les autres.


Est-ce que cette action est réellement possible à réaliser?
SI oui, je dois m'orienter vers la configuration de quoi ? (samba, ldap, libnss, pam_ldap, autre)

versions des programmes:
OS: debian lenny
openldap : 2.4.11
smb : 3.2.5

Merci d'avances pour vos réponses et bon appétit.

Ivy


"ça ne marche pas" n'est pas une source d'information suffisante pour que quiconque vous aide à dépanner quoique ce soit.