hi,

Generell

- Bereichseinschränkung
  + Gruppenerlaubnis
  - Gruppenverbot
  + Einzelerlaubnis
  - Einzelverbot

hat sich bewährt.

Ja, so in etwa.

Allerdings möchte ich wenn möglich die "Reihenfolge" von Erlaubnis und Verbot flexibel halten.
Natürlich muss geklärt werden, ob gilt "was nicht verboten ist, ist erlaubt" - oder umgekehrt.
Wenn möglich wollte ich diese Entscheidung aber auch dem administrierenden Nutzer überlassen.

Wenn sehr viele Dateien vorhanden sind, von denen nur recht wenige "gesehen" werden können sollen - dann sollte es ein generelles Verbot geben, mit ein paar Ausnahmen.

Wenn von sehr vielen Dateien fast alle sichtbar sein sollen - dann wäre es eine generelle Erlaubnis, mit ein paar kleinen Einschränkungen.

Vielleicht sollte ich mir die Arbeit da leichter machen, und administrativ nur festlegen lassen, ob _generell_ verboten oder erlaubt gilt - und dann noch die dazu jeweils gegenteilig lautenden Ausnahmen.
Damit wäre das Problem der Priorisierung widersprüchlicher Regeln eigentlich schon gelöst - ein wenig zu Ungunsten des administrativen Komforts halt.

Wahrscheinlich willst Du auch nicht wirklich so doof wie M$ vorgehen, und eine riesige DB aufbauen, in der für jede User-Ressourcen-Verknüpfung ein Datensatz angelegt werden muss?!?

Wenn diese Triviallösung mich zufriedenstellen würde, hätte ich den Thread nicht eröffnen brauchen :-)

gruß,
wahsaga