Quem pode alterar as permissões da ACL?

Estou usando a ACL para controlar o acesso a raízes individuais de Webs para diferentes instâncias do Apache e diferentes grupos de administradores. Eu tenho um grupo Unix admins-web22 para administradores de um site específico e usuário apache-web22 para uma instância específica do apache. Estas são as permissões definidas no diretório raiz da web:

# file: web22
# owner: root
# group: root
user::rwx
user:apache-web22:r-x
group::rwx
group:webmaster:rwx
group:admins-web22:rwx
mask::rwx
other::---
default:user::rwx
default:user:apache-web22:r-x
default:group::rwx
default:group:admins-web22:rwx
default:mask::rwx
default:other::r-x

Existe um usuário fred que é membro de admins-web22 . Este usuário tem acesso total de leitura / gravação ao diretório (conforme indicado acima). Isso funciona corretamente. No entanto, esse usuário não pode conceder permissões de gravação ao usuário apache-web22 para alguns arquivos e diretórios, o que é importante (por exemplo, o administrador da Web deseja definir um diretório de upload para o Drupal). O comando setfacl fornece "Operação não permitida".

Minha pergunta é: quem pode conceder privilégios usando setfacl e como posso permitir que usuários do grupo admins-web22 alterem permissões (por apache-web22 )?

Estou usando o Debian Wheezy e é uma partição ext4, se for importante.