Permissões Pastas Autenticando Linux no AD

tenho um server Linux autenticando no Windows 2008 R2, até ai tudo certo os usuários mapeados tudo certinho, porém, agora acho que vou entrar no que todo mundo passa e não sei se tem alguma solução.

Cenário:
Pasta Pai = informatica

Grupo de usuários: grupo-ti onde estão user01, user02, user03

Problema:
Nessa pasta informatica tenho uma subpasta chamada "contratos" e um usuário do rh (rh01) deve acessar a mesma, mas somente ela;

meu arquivo smb.conf:
[global]
workgroup = EMPRESA.LOCAL
netbios name = Buzz
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = No
idmap gid = 10000-20000
idmap uid = 10000-20000
realm = EMPRESA.LOCAL
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes
password server = win2008server
;winbind separator = + # some applications get confused with \
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = Yes
winbind use default domain = yes
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
log level = 3 passdb:5 auth:3 winbind:3

#ACL
inherit permissions = yes
inherit acls = yes
map acl inherit = yes

#Compartilhamentos
[Informatica]
comment = Servidor de Arquivos
path = /empresa/ti
available = yes
browseable = yes
public = yes
guest only = no
writable = yes
guest account = root
create mode = 0777
directory mode = 0777
force group = grupo-ti
valid users = +grupo-ti,Administrador
veto files = /*.mp3/*.wma/*.wmv/*.avi/*.mpg/*.wav/*.mpeg/
delete veto files = yes

Toda parte de kerberos, winbind está correta e testada pelos comandos:

wbinfo -u e -g

também já enviei um ticket para o kerberos para ver se está correto;

O que está pegando são essas permissões, não queria uma medida paleativa como montar um server nfs

Grato.