Нужно разработать систему разграничения прав на доступ к каталогу запасных частей для средней по размерам CRM производителя.

Что защищать:
Каталог содержит порядка 500000 записей собранных в иерархическую структуру группа/модель/чертеж/(зап.часть или документ) и возможно промежуточные групирующие фолдеры. Нужно поддержать наследование прав доступа от узла где права явно заданы к дочерним узлам. Параллельно нужно разграничить доступ по типам документов (т.е. организация А может видеть только инструкции по инсталляции к примеру). Возможно права будут назначаться на атрибуты зап.частей (например по производителю и т.д.). Каждая зап.часть имеет цену которая также зависит от категории пользователя.

От кого защищать:
Организации делятся по отношению к производителю - дилеры, дистрибьютеры. Далее по подразделениям. По региональному признаку. Также возможно потребуется разграничивать права на уровне ролей и отдельных логинов.

Права на доступ к отдельным элементам каталога даются на основе принадлежности логина к организации/отделу, региона организации или роли; в основном на уровне рутового каталога.

Требования достаточно расплывчатые.

Посоветуйте где можно найти информацию как вообще подступиться к этой задаче.

С точки зрения бизнес логики: Как организовать удобную и непротиворечивую систему организаций/логинов/ролей/пермишенов.

Есть ли относительно простые способы имплементировать наследование прав (с возможностью переопределения ниже или без) a la NTFS File Security.

Хотелось бы посмотреть на аналогичные системы прежде чем изобретать свой велосипед.