Hallo Chris,
ich kann nur für meine Erfahrungen sprechen, aber hier die Dinge die mir aufgefallen sind.
Aktivierung eingebundener Gruppen ist nur dann nötig, wenn man im Gruppenfilter cn=students verwendet. Denn cn=students beinhaltet nur Gruppen und keine Benutzer. Auch Lehrer sind in der Gruppe cn=students, wenn diese sich in Klassen eingeschrieben haben.
Besser ist also, wenn ich nur die Gruppe mit Schülern will, die Verwendung von cn=role-student. Zumindest im Moment, wenn ich mit dem Server nur eine Schule betreibe, da cn=role-student sich im GLOBAL Teil des AD befindet und somit für alle Schüler gilt, welche im AD sind, unabhängig von der Schule.
Wenn cn=role-student verwendet wird, muß man in Nextcloud in den „Fortgeschritten“ Einstellungen der LDAP Konfiguration den Gruppenbaum wie oben beschrieben anpassen, sonst sieht man cn=role-student nicht.
Danke und viele Grüße
Klaus