Хотел бы услышать мнения касательно следующей проблемы в настройке ролей пользователей.
Часто бывает, чтобы дать доступ пользователю к объектам, с которыми он должен работать назначается набор созданных ролей и такой набор ролей может быть у нескольких пользователей. В какой то момент одному из таких пользователей необходимо закрыть доступ к определенному объекту, который есть в одной из назначенных ролей. В худшем случае доступ на этот объект есть во всех назначенных ему ролях. Если убрать доступ на нужный объект из роли (всех ролей) "пострадают" остальные пользователи. Один из вариантов определять новый набор ролей (корректируя существующие или добавляя новые роли) и перезначать заново пользователям. И такие случаи могут возникать довольно таки часто. Есть ли какие либо рекомендации как исключить доступ к объекту конфигурации без массового изменения ролей с дальнейшем новым их назначением пользователям?