Для параноїків
Можна створити групу користувачів і додати опрцію gid=<id групи>. Користувачі з групи доступ мати будуть, не з групи - ні. Так реалізується принцип "заборонено все, що не дозволено"
зі мабуть для цього випадку більше підходить варіант з umask
зіі у мене замість user - users