Добрый день. Тема не раз поднималась. Например, эта тема показательна.

Делаю в оракле разграничение доступа.

1. Таблица USR (ID, NAME, other fields ) - пользователи
2. Таблица OBJ (ID, name, comments ) - имена как сущностей моей системы, на которые накладываются права, так и объектов БД - таблицы, вьюхи, пакеты, функции итд.
3. Таблица OBJGRANT (ID, NAME) - тип доступа (SELECT, UPDATE, INSERT, EXECUTE итд) Плюс здесь же имена ролей БД типа CONNECT, RESOURCE, DBA итд

4. ТАБЛИЦА ACL (ID, OBJ_ID, {OBJ_TYPE_ID}, OBJGRANT_ID, USR_ID) - все права пользователей
(5. Таблица соответствия ролей и пользователей USRROLES (ID, ROLE_ID, USR_ID) будет скоро...)

Вопрос следующий. Как наиболее красиво организовать совместное хранение отдельных прав пользователей и ролей ? Я их хотел бы называть группами, но в данном случае это одно и то же.

Если в ACL добавить поле-флаг IS_ROLE и в поле USR_ID писать ID роли, то получается некрасиво методологически. Если завести отдельную таблицу ACL_ROLE , то кода больше и опять же , некрасиво.

Как это обычно организуется?

softwarer Mainframe_старыйА Вы еще возражали против отдельного курса по управлению правами ..
И пока не вижу, в чем был неправ. Продолжаю считать, что тратить минимум 32 учебных часа на вдалбливание тезиса "пользуйся готовыми решениями" - многовато; дешевле выгнать тех, кому нужно именно столько времени.

Хорошо, как бы вы организовали систему прав в системе?
В любом случае необходим клиентский интерфейс а)для заведения пользователей и б) для добавления\удаления им прав как на отдельные сущности системы, так и на объекты БД.

Для этого в любом случае необходимо писать пакеты(я про оракл говорю) выполняющие динамический SQL. В него вставляются имена объектов, итд. Лучше придумать, чем брать их из своих таблиц, придумать не могу.
Почему по вашему мнению нужно отказаться от любой из перечисленных мною выше таблиц?