Управление UID / GID двойного Samba / Winbind в AD

У меня есть два сервера Linux, подключенных к серверу Active Directory Windows 2008 с помощью Samba / Winbind, и вот моя конфигурация samba

    workgroup = COMPANY
    realm = COMPANY.COM
    server string = SAMBA-AD Server
    security = ADS
    password server = 10.1.x.x
    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 50
    unix extensions = No
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    template homedir = /home/%u
    template shell = /bin/bash
    winbind separator = +
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind nss info = rfc2307

Оба они настроены одинаково, однако, когда я запускаю getent group, перечисленные GID у обоих разные, хотя диапазоны точно такие же, от 10000 до 20000.

На Linux-сервере A:

domain computers:*:10011:

На сервере Linux B:

domain computers:*:10008:

Кажется, не начинается с 10000.

Как я могу точно синхронизировать GID на обоих серверах Linux? Любая помощь очень ценится!

РЕДАКТИРОВАТЬ: @larsks, я попытался добавить idmap_rid, и это новейшая конфигурация:

    workgroup = COMPANY
    realm = COMPANY.COM
    server string = SAMBA-AD Server
    security = ADS
    password server = 10.1.xx.xx
    log file = /var/log/samba/log.%m
    max log size = 50
    unix extensions = No
    idmap config COMPANY:backend = rid
    idmap config COMPANY:base_rid = 1000
    idmap config COMPANY:range = 10000 - 20000
    template homedir = /home/%u
    template shell = /bin/bash
    winbind separator = +
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind nss info = rfc2307
    hosts allow = 127., 192.168.12., 192.168.13., 10.1.11., 10.2.,
    wide links = Yes

Я удалил idmap gid = 10000-20000.

Мне нужно удалить winbind enum groups = Yes ?

однако GID остается прежним, даже когда я перезапускаю winbind / samba после добавления idmap_rid ..