Я столкнулся с такой же проблемой и уже использую списки управления доступом. Это может не относиться к вашей ситуации, но в моем случае конкретный пользователь имеет доступ на запись к дереву каталогов, а все остальные имеют доступ на чтение, поэтому моя тактика состоит в том, чтобы написать небольшую программу setuid, чтобы проверить доступ на запись вызывающего пользователя и разрешить изменение доступа для чтения к другим.
Здесь обсуждается вопрос:
Как заставить пользователей устанавливать ACL для каталогов, которыми они не владеют?