Здравствуйте!
Для каждого отдела создана своя группа: div1, div2, ....
В группах созданы пользователи:
div1: d1user1, d1user2, ...
div2: d2user1, d2user2, ...

Есть шара, в которой созданы папки. Доступ к папкам разделён по группам (т.е. владельцами папок установлены соответствующие группы):
folder1 - div1
folder2 - div2, ...
На папки выставлены права 775.
Пользователи отделов имеют полный доступ к своим папкам и доступ только-чтение к папкам других отделов.

Внутри папки folder1 есть папка exception.
К этой папке нужно дать полный доступ пользователям из разных групп (пусть это будут пользователи d1user1, d2user2).

Думал сделать так: создаём ещё одну группу sharedgroup (далее сокращенно sg), в неё добавляем пользователей d1user1 и d2user2.
Владельцем папки folder1/exception делаем группу sg, на папку устанавливаем права 770.
Беда в том, что в папку folder1/exception всё равно могут вносить изменения пользователи группы div1.
Как ограничить доступ к этой вложенной папке лишь определённому набору пользователей?

Конфиг шары:
[public]
        path = /samba/public
        writable = yes
        read only = no
        create mask = 664
        directory mask = 775
        guest ok = no
#       inherit owner = yes
#       inherit permissions = yes
        inherit owner = no
        inherit permissions = no

Буду благодарен любым советам!