собственно я и раньше поднимал эту проблему http://catalog.mista.ru/public/87912/

сейчас занимаюсь внедрением тяжелой конфы (1с:УправлениеХолдингом) и опять те-же грабли, собственно пока основная претензия, то, что расчет например организаций к которым нужно давать доступ ведется непосредственно в Рельсе а не при записи набора прав, пример:

есть дерево организаций (там в одном дереве ЦФО и организации) и пользователь получает права и через реквизит к головному узлу и ко всем его подчиненным, что происходит при каждом запросе...

если бы я делал - то я бы формировал список организаций непосредственно при смене структуры а при пользовательских запросах использовал уже готовые наборы (отборы).

Ну или есть моменты когда нужно давать доступ на запись по совокупности, например доступ в документ если разрешены и ЦФО и проект, а если что-то одно - то только на чтение...

Допиливать типовые права БСП - это реально непосильно в плане поддержки, по этому и дилема

1. Пытаться поломать бизнес хотелки и юзать только типовые
2. Писать рядом свою подсистему

Написать заявление об уходе в дворники.

Если в типовых нет, то свои

Никаким РЛС не сделать - как например в ДО - когда для каждого документа можно задать свою рабочую группу. (по умолчанию допустим имеет доступ подразделение и проект, нужно добавить некоторых пользоваталей другого подразделения). Но это лепить свой регистр ОбъектыДоступа, очереди пересчета прав и т.д. Или как образец взять ActiveDirectory.
УХ - отличная конфа, выкинули б из нее консолидацию, оставив бюджетирование и некоторые другие фишки, и продавали б как альтернативу КА тем кому не нужно производство...