使用 Winbind 的最佳管理实践？

我计划将我们的一些 Linux 服务器迁移到通过 SAMBA/Winbind 使用 AD 身份验证。操作系统将是 openSUSE 11.3 x64。我们的 AD 环境没有安装 UNIX 扩展。

我从头开始设置了一个服务器，它似乎运行良好。 openSUSE 的安装程序在感知 AD 和设置所有必要的配置文件方面做得很好。 不过，我自己设置了一些 Winbind 选项。 我的工作配置：

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

一切正常。我可以通过控制台或 SSH 通过我的 AD 帐户登录。我还可以使用我的 AD 凭据通过 SAMBA 连接到我的主目录（我省略了 [homes] 指令）。

我确实有几个问题：

1. 默认情况下，winbind 和 samba 将其配置存储在 TDB 文件中。我注意到有一个使用 LDAP 后端的选项。为几台服务器进行设置会很麻烦吗？
2. 备份和恢复 TDB 文件的最佳实践是什么？我注意到了 tdbbackup 命令。我应该按计划执行它吗？使用其他备份方法？
3. 我注意到 UID/GID 是按照先到先得的原则生成的。我记得大约一年前测试过这个，我的 UID 是一个很大的数字，比如 1983745637。为什么会有差异？有没有管理这种 UID/GID 分配的最佳实践？我不打算使用 NFS，但如果 UID/GID 在各个系统上都相同就好了，以防万一，虽然如果我做不到，也不会有什么大不了的。

我想从曾经支持或目前支持类似设置的系统管理员那里获得一些第一手经验。我应该注意什么？我还应该遵循哪些最佳实践？

此外，我评估了 Likewise，发现它似乎不太适合我们的环境。登录时会遇到长时间的延迟，并且无法将其与 SAMBA 集成。此设置效果好得多。

提前致谢...