Тем не менее, Samba из комплекта недавно зерелизенного Debian Squeeze отлично пускает к себе клиентов на Windows 7. Возможно и на Windows server 2008, но пока не проверяли.

Да, выставление глобального параметра max protocol = smb2 приводило к тому, что семёрка не могла обратиться к самба-серверу.

servername:# time wbinfo -g >/dev/null

real    0m8.523s
user    0m0.000s
sys     0m0.004

servername:# time wbinfo -u >/dev/null

real    0m31.493s
user    0m0.008s
sys     0m0.000s

Чую, что трастовые домены до добра не доведут…

всё на самом деле просто.
допустим запись в шару на самбе разрешён всем. а в каталог, который расшарен? от кого создавали? от рута? и какие права у него получились?
$ ls -l | grep share

drwxr-xr-x  2 root root       4096 2008-06-18 12:51 share

угадал?
создателю на полный доступ, а группе и всем остальным только чтение.
а самба у нас от кого запускается? правильно, от пользователя. простого. того, под кем на неё пользователь логинится.
в общем, права на каталог ставим самые простецкие:
$ sudo chmod 777 share
всё! пользователи самбы пишут в шару.

на что ещё надо обратить внимание.

при создании системоного пользователя по умолчанию создаётся группа таким же именем как у пользователя. она же прописывается пользователю как начальная группа единственным членом  которой он тут же становится. пользователь может входить и в другие, дополнительные, группы, но при создании пользователем каталогов и файлов в качестве группы подставляется именно начальная группа.
по этому, если не используются acl, а разграничение доступа внутри шары делается через группы, следует внимательно следить за тем какие права доступа назначаются при создании файлов и каталогов и под какими группами работают пользователи.

$ sudo apt-get update
$ sudo apt-get install acl

теперь объясним системе. что у нас на файловой системе есть расширенное управление правами:

$ sudo vi /etc/fstab

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/hda1       /               ext3    defaults,errors=remount-ro 0       1
/dev/hda3       /home           ext3    defaults,acl    0       2
/dev/hda2       /var            ext3    defaults        0       2
/dev/hdd        /media/cdrom0   iso9660 ro,user,noauto  0       0
/dev/fd0        /media/floppy0  auto    rw,user,noauto  0       0

в столбик options дописываем параметр acl (выделено красным)
после чего либо перемонтируем соответствующие разделы,

$ sudo mount -o remount /dev/hda3

либо перегружаем всю систему.

ну что, разделы с нужной опцией примонтировались?

как расширенные права выглядят с точки зрения системы можно посмотреть командой

$ getfacl tmp

# file: tmp
# owner: root
# group: root
user::rwx
group::rwx
other::rwx

это, что называется по умолчанию
добавим кому ни будь доступ

$ sudo setfacl -m u:username:rx tmp

смотрим что получилось

$ getfacl tmp
# file: tmp
# owner: root
# group: root
user::rwx
user:username:r-x
group::rwx
mask::rwx
other::rwx

для чего это надо непосредственно в линуксе я пока не придумал – задач не стояло.

перейдём к более практическому применению – расширенные права в samba.

пробовали назначать права доступа к файлам и каталогам на самбовской шаре? ну как? а с использованием acl всё гораздо интереснее.

добавляем расширенные права в конфиг самбы
$ sudo vi /etc/samba/smb.conf

[global]
...
 acl compatibility = auto

[sharename]
   comment = Share
   path = /path/to/directory
   browseable = yes
   writable = yes
   create mask = 0664
   directory mask = 0777
   inherit acls = yes
   inherit owner = yes
   inherit permissions = yes
   map acl inherit = yes

а вот теперь можно пробовать назначать персональный доступ к файлам и каталогам для отдельных пользователей прямо с виндовой машины. ну совсем такой как в виндах не получится, а вот на предмет читать/писать запросто. особенно для самбы в виндовом домене.