Samba4: наследование ACL: группа владельцев будет изменена на "пользователей домена" в новых созданных файлах / каталогах

Samba версии 4.3.11 на сервере Ubuntu Xenial (16.04)

В smb.conf у меня есть:

Server role: ROLE_DOMAIN_MEMBER
[global]
  ...
  inherit permissions = Yes
  inherit acls = Yes

  # I needed this due to another issue
  server max protocol = NT1
  max protocol = NT1
  protocol = NT1
  ...
[institute]
  ...
  map acl inherit = Yes
  store dos attributes = Yes
  vfs objects = acl_xattr

Я всегда устанавливаю / администрирую общие ресурсы со стороны Linux.

Я установил acls каталога следующим образом:

# getfacl .

# file: .
# owner: rawi
# group: hg_pat
# flags: -s-
user::rwx
group::r-x
group:hg_qm:rwx
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:hg_qm:rwx
default:mask::rwx
default:other::---

Теперь я создаю под ним каталог TEST со стороны клиента Windows и смотрю на acls:

# getfacl TEST

# file: TEST/
# owner: rawi
# group: domain\040users
user::rwx
user:rawi:rwx
group::r-x
group:domain\040users:r-x
group:hg_qm:rwx
mask::rwx
other::---
default:user::rwx
default:user:rawi:rwx
default:group::r-x
default:group:domain\040users:r-x
default:group:hg_qm:rwx
default:mask::rwx
default:other::---

... теперь стандартной группой являются "пользователи домена", но не все должны иметь здесь какие-либо права, а только группы hg_pat (rx) и hg_qm (rwx).

Кстати. с или без следующего в конфиге не имеет значения в наследовании

map acl inherit = Yes
store dos attributes = Yes
vfs objects = acl_xattr

Без acls только с одной разрешенной группой нет проблем: sgid делает это хорошо.

Но при наличии двух групп, которым разрешены разные права, и, следовательно, необходимости в acls, samba инактивирует sgid и добавляет нежелательных "пользователей домена" как "CREATOR GROUP".

Как я могу избежать изменения этой группы и получить чистое наследство?

Спасибо

Rawi