As permissões do Samba Unix foram canceladas apesar da máscara

Gostaria de configurar um compartilhamento em um serviço samba autônomo em que os usuários tivessem rw para seus próprios arquivos, mas r para outros no mesmo grupo ( rwx e rx nas pastas, respectivamente). Ele funciona bem quando os usuários criam novos arquivos e diretórios, mas depois de determinadas operações de arquivo, o arquivo se torna rwx para o grupo, o que é indesejável.

O compartilhamento é configurado assim:

[share]
  path = /mnt/asd/bsd
  read only = yes
  valid users = @agroup, auser
  write list = @agroup
  directory mask = 0755
  create mask = 0644
  force group = +agroup

Reprodução, o compartilhamento é montado como uma unidade em um cliente Windows 8.1:

1. copie um x.jpg para o sare - até aí tudo bem, ele se torna 644, pertencente ao usuário que o criou e ao grupo também é aplicado
2. abra o .jpg do compartilhamento com o Windows Photo Viewer, gire-o - depois que o arquivo for salvo ao fechar, ele se tornará o modo 674 - muito ruim
3. clique com o botão direito > propriedades > a guia de segurança ainda mostra apenas permissão de "leitura" para o grupo, não há como consertar isso remotamente.

O mesmo acontece quando clico com o botão direito no arquivo no Windows e tento editar as permissões.

/ # smbd --version
Version 4.2.9

É um misconfig ou existe uma maneira de restringir alterações no modo de arquivo remoto? Tentei brincar com máscaras, ou outras opções de configuração até agora sem sorte.