hi,

da solltest Du Dich mal it den NDS (Novell Directory Services)beschäftigen. Es gibt mMn keine bessere Umsetzung für Datei- und Objektrechte.

Nee, das schießt mir schon über's Ziel hinaus.
Ich möchte keine zusätzlichen Softwarekomponenten installieren (müssen), sondern möchte selber eine Lösung in PHP erstellen - möglichst schlank.
Diese Lösung muss keine Rechte auf Dateisystemebene o.ä. implementieren, sondern soll einzig und allein entscheiden, welche im Dateisystem eines (Apache-)Webservers vorhandenen Dateien und Ordner einem Benutzer dieses Scriptes _angezeigt_ werden sollen, und welche nicht. Es soll keinerlei Zugriffsschutz o.ä. bewirken, es geht rein um Anzeigeprivilegien - darf Datei xy in einem Verzeichnislisting gesehen werden, oder nicht. Ob auf Ressource abc über HTTP zugegriffen werden kann oder nicht, wenn die Adresse bekannt ist, ist nicht Bestandteil der Anforderung.

Man muss schließlich auch berücksichtigen, was in Verzeichnissen uns Unterverzeiochnissen geschieht, ob Rechte vererbt oder die Vererbung unterbrochen werden soll und/oder für einzelne Ressourcen Sonderbestimmungen bestehen.

Ja, sagte ich doch :-)
Da liegt ja auch mein Problem, ein Regelwerk dafür gleichzeitig universell und schlank zu halten.

Und dann wird es spannend, WER denn welche Rechte verwalten, sehen, kontrollieren und ändern darf...

Nein, soweit soll's nicht gehen.
Die Regeln soll ein Berechtigter aufstellen/ändern können.
Gruppen mit verschiedenen Rechten sind nicht vorgesehen.

gruß,
wahsaga