Есть домен win 2008r2, в нем сервер самба в режиме ADS, пользователи раскиданы по группам.
У каждого unix-юзера основная группа - users и есть еще по нескольку неосновных групп.
Задумка была в том, чтобы по этим группам разграничивать доступ, однако работает это как-то не так:

Конкретно, мой тестовый юзер: tu3
# id tu3
uid=100278(tu3) gid=100(users) группы=100(users),1010(it)

Создал тестовые каталоги внутри шары:
# pwd
/data6
# ls -l a
total 16
drwxrwxrwx 3 root root  4096 May 14 17:41 a
drwxrwxr-x 2 root it    4096 May 14 17:41 b
drwxrwxr-x 3 root users 4096 May 14 17:43 c
drwxrwx--- 2 root users 4096 May 14 17:40 d

Если я делаю "su tu3" и создаю файлы, то они во всех 4 каталогах без проблем создаются.
По моему представлению, файлы через самбу должны тоже создаваться во всех 4 каталогах, однако создаются они только в "a" и "c":
# ls -l a/*
a/a:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:40 test

a/b:
total 0

a/c:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:43 test

a/d:
total 0

При этом в "d" винда вообще не заходит, говорит, что нет прав, хотя для users доступ по группе открыт. В "b" заходит, но создать файл не может.

ps показывает, что владелец процесса корректный:
# ps aux|grep smbd
root      2261  0.0  0.0  77900  1780 ?        Ss   May10   0:01 /usr/sbin/smbd -D
root      2365  0.0  0.0  77876  1368 ?        S    May10   0:00 /usr/sbin/smbd -D
tu3       9010  0.0  0.2  78556  5164 ?        S    16:27   0:02 /usr/sbin/smbd -D

Ну и конфиг самбы:
[global]
        workgroup = DOMAIN
        netbios name = NAME
        realm = DOMAIN.LOCAL
        security = ADS
        password server = *
        ldap ssl = no

        winbind use default domain = Yes
        map untrusted to domain = Yes
        winbind nested groups = Yes
        auth methods = winbind
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        create mask = 0664
        directory mask = 0775
        store dos attributes = Yes

        unix extensions = No
        wide links = Yes
        log level = 6

[data6]
        browseable = Yes
        path = /data6
        read only = No
        inherit acls = Yes

Получается 2 странности:
1. чтобы зайти в каталог, самба использует права от others, хотя для даже для основной группы доступ есть.
2. чтобы записать файл, самба использует права группы, но только основной. А неосновной группы для этого не хватает.
Почему так происходит и можно ли настроить права самбы аналогично su?