Помогите подобрать права

Возникла ситуация. На сервере хоумпапки разных юзеров. Юзера лазить друг к другу не могут.

При этом в сети есть чудесное устройство - сетевой сканер. Он умеет класть отсканенное по SMB или по FTP куда прописано в конфиге. Для каждого целевого каталога можно прописать свой логин-пароль. Можно каждому получателю вписать его пользовательский пароль, но во-первых его придется при каждой смене править в конфигах сканера, а во-вторых небезопасно его там дополнительно хранить.

Посему возникла идея чтобы файлы клались одним-единственным скан-юзером. Проблема - какие права ему дать чтобы он мог класть юзерам сканы в папки, но не давал делать ничего с уже имеющимися файлами?
Пока пришло в голову - пихаем всех юзеров и сканерного юзера в группу scanusers, хоумпапкам ставим в группу scanusers и даем права на хоумпапки drwx-wx---. При таком раскладе сканер действительно кладет файлы в юзерские папки... вот ток юзера потом не могут их редактировать или удалять, потом что они принадлежат сканерному юзеру.

Можно или как-то эту проблему решить без применения ACL или чего-то еще страшного?