Есть стандартное госучреждение-1 штука. Система управления и схема подчинения отделов также стандартные (т.е. отсутствуют). На практике есть куча замов, которые имеют подчинённые отделы и курируют часть остальных. Всё это дело непрерывно меняется, схема через год устаревает...

Внутри отделов, слава богу, иллюзия строгого подчинения остаётся.

Перед нашей группой поставлена творческая задача всё это дело формализовать, дабы иметь возможность назначать права доступа.

Требуется:

-Предоставление доступа конкретному пользователю (элементарно)
-Предоставление доступа группе (аналогично)
-Предоставление доступа группе с делегированием прав (классическая схема, подчинённый-начальник. Только начальников много)
-Возможность предоставление доступа "всем".
это дело по возможности должно отражать организационную схему предприятия (предмет давнего спора, на сегодняшний момент - опционально).
-Парадигма должна быть доступна для простых смертных.

Буду крайне благодарен за любые советы/ссылки/материалы.

P.S. Всё это дело реализуется в виде нескольких табличек (чем меньше - тем лучше) на MS SQL Express 2005 и джойнится к Principal ID User'а БД во время запросов.

Благодарю, но меня больше интересует концептуальный подход.
Как с группами быть? Роли не подходят - их придётся заводить слишком много, да и нехорошо это, сильно завязывать бизнес-логику на архитектурные особенности MS SQL'а. Тупо скопировать функционал - зачем? Да и работа с сильно разветвтлённым графом при использовании многие-ко многим на самого себя тяжеловата будет...