Доброго времени суток!
Есть задача поднять файл-сервер на FreeBSD чтоб был сетевой ресурс в домене и чтоб с Windows машин можно было назначать права доступа для отдельных доменных групп.
Делал по примерам как тут
http://www.samba.org.ua/articles/?section=1&articleid=109
и тут
http://www.lissyara.su/?id=1180

Керберос билеты получены, Ввести в домен получилось, wbinfo -g и wbinfo -u показывают список доменных групп и пользователей, сетевые ресурсы созданы, даже права назначаются, но получается что те юзвери которые не имеют прав на даже чтение в соотвествии с ACL, могут читать и удалять файлы\каталоги. :(

Фряха 7.2, Самба  3.33
Вот конфиг

[global]

dos charset = 866
unix charset = KOI8-R
workgroup = CDS
realm = CDS.CAN
server string = Samba %v on FreeBSD
netbios name = BSD2
security = ADS
auth methods = winbind
map to guest = bad user
client NTLMv2 auth = yes
encrypt passwords = yes

log file = /var/log/samba/samba.log
max log size = 100
client signing = yes
disable spoolss =yes
local master = no
domain master = no
preferred master = no
time server = no
dns proxy = no
idmap uid =  10000-20000
idmap gid =  10000-20000
inherit acls = yes
map acl inherit = yes
case sensitive = no
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
password server = 192.168.72.99
load printers = no
guest ok = yes

winbind use default domain = yes
name resolve order = host bcast

[testwr]
comment = Writable directory for all
path = /tmp
read only = no
create mask = 0666
create mode = 666
directory mode = 666
directory mask = 0777
guest ok = yes
### Тут все юзвери имеют права на создание-редактирование-удаление, так и надо.

[share1]
comment = Hidden catalog. Everyone can create their catalogs and grant permissions for them
path = /share1
read only = No
guest ok = Yes
hosts allow =
browseable = No
###  Тут создаем ACL, но несмотря на него, получается что любой юзер может заходить,
### создавать и удалять каталоги и файлы
###даже если в ACL явно прописано запрещение этому доменному юзеру :(

[Shara]
comment = Open for everyone
path = /usr/shara
read only = No
guest ok = Yes
hosts allow =
read list = "@CDS\Domain Users"
write list = "@CDS\Domain Admins"
### Тут я пробовал сделать чтоб только domain users могли изменять содержимое, а
### остальные только читать, но опять могут все. :((
### Еще тут сделано
### extattrctl initattr -p /usr/shara 388 posix1e.acl_access
### extattrctl initattr -p /usr/shara 388 posix1e.acl_default

Помогите плиз не могу донастроить самбу. :(