Сильно не вникал в суть и структуру вашей БД, но мне не понятно о чем вы ломаете голову?

Роль - имхо - есть шаблон проставленных элементарных прав к каким-то объектам.
Пользователь - есть аккаунт наделенный правами или вручную или просто применен шаблон.

ИМЕЕМ:
-------------------
Objects: guestbook, price
Type_permissions: read, write&read (потому что голый write без read функционально глупо, а
контроллировать их совместное присутствие - лишняя
нагрузка, лучше принять что write - это еще read в любом
случае, но все зависит от целей)

Prior_permissions: write&read = 1, read=0 (Смысловой приоритет прав, какие права дают бОльшие
полномочия - потом пригодится в примере)
Accounts: peter, ivan
Roles: admin, user, guest

ЗНАЧЕНИЯ:
----------------------------
роли admin = guestbook (write&read), price (write&read)
user = guestbook (read), price (read)
guest = guestbook (None), price (None)


Теперь, если мы назначаем пользователю peter <- Role admin
то фактически мы просто копируем в его permission предустановленные значения
из шаблона admin, то есть он получает проставленные права.
Если мы удаляем, то удаляются все права определенные шаблоном Admin.
Если мы добавляем как роль admin так и роль user, то в базу permissions этого пользователя права также линейно накладываются по правилу:
права с бОльшим Prior_permissions имеют приоритет:
То есть фактически, так как write&read > read, то peter (admin, user) - фактически будет админом
с точки зрения прав на объекты.
Когда мы удаляем admin из его роли, то права с шаблона admin убираются, а потом делается
"пересчет"/перезапись прав которые теперь имеет с точки зрения оставшейся роли - user

Когда мы руками правим его permission, например, ставим guestbook(write&read), price(read)
то фактически мы не попадаем под шаблон - это означает лишь одно - пользователь peter имеет
custom permission. С точки зрения интерфейса это можно обозначить как угодно - например
peter (*modified) или взять последнюю примененную роль и сказать: peter = Admin(m)

Ответим, зачем и когда нам нужны роли и/или custom'ные права.
1. Роли нужны для того, чтобы не иметь гиммора с ручным проставлением атомарных прав каждому
юзверю.

2. Custom'ное изменение прав нужно для гибкости в случаях единичных исключений - когда
конкретному пользователю необходимо сделать права, не попадающие 100% под шаблон роли

3. И последнее, когда в процессе эксплуатации появляются пользователи с одинкаковыми и нешаблонными правами - это признак завести новую Роль, под котороую они уже будут попадать.

P.S.:
Если я не ответил на вопрос, то перенесите этот пост куда нить, жалко писал столько. =)

И еще, возможно вы путаете Роли с Группами?

О... мля... asp... .net... ms... - извините, наверное я оффтоп. Не дружу генетически со сферой MS.