Samba4: наследование ACL: группа владельцев будет изменена на «пользователи домена» в новых созданных файлах / каталогах

Samba версии 4.3.11 на сервере Ubuntu Xenial (16.04)

В smb.conf у меня есть:

Server role: ROLE_DOMAIN_MEMBER
[global]
  ...
  inherit permissions = Yes
  inherit acls = Yes

  # I needed this due to another issue
  server max protocol = NT1
  max protocol = NT1
  protocol = NT1
  ...
[institute]
  ...
  map acl inherit = Yes
  store dos attributes = Yes
  vfs objects = acl_xattr

Я всегда устанавливаю / администрирование общих ресурсов со стороны Linux.

Я установил acls каталога следующим образом:

# getfacl .

# file: .
# owner: rawi
# group: hg_pat
# flags: -s-
user::rwx
group::r-x
group:hg_qm:rwx
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:hg_qm:rwx
default:mask::rwx
default:other::---

Теперь я создаю под ним каталог TEST на стороне клиента Windows и смотрю на acls:

# getfacl TEST

# file: TEST/
# owner: rawi
# group: domain\040users
user::rwx
user:rawi:rwx
group::r-x
group:domain\040users:r-x
group:hg_qm:rwx
mask::rwx
other::---
default:user::rwx
default:user:rawi:rwx
default:group::r-x
default:group:domain\040users:r-x
default:group:hg_qm:rwx
default:mask::rwx
default:other::---

... стандарт группа теперь "пользователи домена", но не все должны иметь здесь права, а только группа hg_pat (rx) и hg_qm (rwx).

кстати. с или без следующее в конфигурации не влияет на наследование

map acl inherit = Yes
store dos attributes = Yes
vfs objects = acl_xattr

Без acls с разрешенной только одной группой не проблема: sgid делает это хорошо.

Но, нуждаясь в двух группах с разными правами и, следовательно, требующих ACL, самба инактивирует sgid и добавляет нежелательных «пользователей домена» как «ГРУППА СОЗДАТЕЛЯ».

Как мне избежать этой смены группы и получить чистое наследование?

Спасибо

Рави