Select,
Приведённая Вами задача не решается введением «групп» так, как это описано в той статье.
Вообще, раз уж для Вас так важен термин - «группа» или «роль», то я предпочёл бы отказаться от обоих терминов и говорить о «списке привилегий», поскольку Вы в термины «группа» и «роль» вкладываете свои, нужные Вам, но нигде более не описанные смыслы, либо эти смыслы не имеют отличий с точки зрения фактической реализации двух идей. Термин «список привилегий», мне кажется, должен быть ясен и не содерит в себе подразумеваемых возможностей, которые есть в «группах» и «ролях».
Нельзя запретить или разрешить привилегию сразу всем пользователям. Можно только тем пользователям, которые наследуют некоторый список привилегий (то есть, роль в моём случае). Если в этом списке привилегий разрешить или запретить привилегию, то она разрешится или запретится для всех пользователей, которые наследуют этот список. За исключением, естественно, тех пользователей, у которых эта привилегия разрешена или запрещена в их собственном списке привилегий администратора.
Если таких списков привилегий (то есть, по моей терминологии, ролей) у Вас много, и каждую роль Вы менять не хотели бы, то Вам следует использовать операцию наследования ролей. К примеру, Вы говорите, что роли «директор», «начальник» и «мастер» - наследуют список привилегий роли «руководитель». В таком случае, если Вы для роли «руководитель» разрешите или запретите какую-то привилегию, то она автоматически будет разрешена или запрещена для всех директоров, всех начальников и всех мастеров.
Более того, в моём случае эту задачу Вы можете решить огромным количеством разных способов. Вы можете использовать как простое наследование, так и дружественное наследование. А можете использовать и комбинацию этих способов, когда Вы говорите, что для всех руководителей привилегия разрешена, но для начальников и мастеров, которые дружественно наследуют роль, к примеру «наблюдающий», эта привилегия может быть разрешена или запрещена в отдельном порядке.
