Администратор создал менеджера. Назовём его Терминатор.
Назначил ему роль. --- Документы -- Новые/Редактировать/Удалять/Сохранять.
Больше ничего!
Как полагается, создал группу пользователей, куда Терминатор и был определён.
Группе пользователей подвязал группу документов -- Новости.
То есть здравый смысл подсказывает --- Терминатор может Создавать/Редактировать/Удалять/Сохранять НОВОСТИ.
А Терминатор берёт и делает что хочет с документами из группы документов Секретные_Документы.
Как быть?
Как сделать, чтобы пользователь имел права редактировать ТОЛЬКО определённую группу документов?