Nejlepší je mít permissions napojené na MySQL, tam se to dá různě třídit a může toho tam být i víc, hlavně tam funguje i ta inheritance, jak potřebuješ.
Protože tam položku, ve kterém světě to platí, určuješ pro každý permission zvlášť. (a kde není vyplněno, tam to platí všude, jako obvykle)
Pak už stačí inheritance podle dané skupiny.
Teoreticky by to šlo přímo v souboru, ale prostě tam se nezbavíš rizika chyby při každý editaci, která ti vyřadí spolehlivě server (když se PEX nenačtou)
Tam to vypadá nějak takto (mám tam jen jednu skupinu, tak to není zas tolik vidět - a inheritance je v jiné tabulce)
PS: nové permissiony do MySQL nepřidáváš vyplňováním políček ( i když to taky jde - a nejde tam vyplnit něco blbě tak, že by to shodilo server), ale příkazem
