Если установлено в yes, этот параметр активизирует поддержку вложенных групп. Вложенные группы также называют локальными группами или псевдонимами (алиасами).
    Они работают как их аналоги в Windows: Вложенные группы локальны на любой машине (они разделены между DC через их SAM), и могут содержать пользователей, и глобальные группы из доверенного SAM (Security Account Manager — прим. переводчика). Вложенными группами можно управлять через NSS winbind.
 
По умолчанию:
winbind nested groups = yes