Ich muß ehrlich zugeben, daß ich nicht richtig verstanden habe wofür das gut sein soll.
Mir ist das zu umständlich. Wer pflegt eigentlich die zugehörigen Daten?

Ich sehe das so:

der Benutzer hat die notwendigen Rechte um irgendetwas zu tun.
Ist das nicht der Fall, gibt es eine Fehlermeldung.

Ich verfolge den Ansatz, daß die Mitglieder einer Gruppe alle die gleichen Rechte für ihre Arbeit benötigen. Also z.B. Personalabteilung,Vertrieb,Geschäftsleitung haben jeweils eigene Datenbestände mit genau definierten Zugriffsrechten. Wenn also eine Person sowohl für den Vertrieb als auch die Personalabteilung arbeitet, dann ist diese Person in beiden Gruppen Mitglied. Sobald diese Rechte nicht mehr benötigt werden, dann wird er in der entsprechenden Gruppe gelöscht.
Hierbei ist der Verwaltungsaufwand rel. klein, Vorraussetzung ist aber das die Benutzer ihre Daten funktionsbezogen und nicht als Privateigentum sehen.

Gruß
K-H