offsitesКто такие эти специальные пользователи?

это пользователи в терминах сервера БД, которые не соответствуют ни одному реальному человеку. Они просто именованные контейнеры прав.

обычные пользователи - соответствуют реальным работникам. Эти же - никогда. Потому я и "имена" им дал специфические, чтобы сразу было отличить от нормальных пользователей-человеков

fdbm,

ну например это может быть неудобно, когда в разное время на одной машине логинятся разные работники.

придётся делать общедоступный список-меню последних пользователей, как в домашней winxp, причём каждый сможет посмотреть под какой ролью последний раз входил какой человек.

кроме того "operator_adm" с точки зрения пользователя-домохозяйки - абракадабра бессмысленная. Роль должна быть понятно описана в несколько слов на русском языке.

Ну и наконец - зачем они вообще нужны эти роли? и уж тем более зачем они нужна пользователям?

Что эти роли отражают, разные задачи, разные workflow? тогда разбей программу-монолит на отдельные функциональные модули с отдельными иконками-ярлычками, и в каждом "входном портале" пусть эта роль будет зашита в код как константа.

---

Есть две модели, "аддитивная и субтрактивная" :-)

Либо "принцип одного окна", когда пользователь запускает One True Program в которую собрана вся функциональность комплекса. И там в этом окне он может открывать только части, ему доступные. Но разные "свои" функциональные части он может открывать одновременно. Тогда нет смысла делать из одной программы несколько соединений к БД одного и того же пользователя с разными ролями. Тогда пользователю БД нужно дать объединение всех "малых комплектов" прав, чтобы он в одном соединении работал со всеми функциями.

Либо "разделяй и властвуй", когда комплекс разделён на несколько узко-специализированных программ, и пользователь запускает ту программу из комплекса, функции которой ему будут в этот момент нужны. Тогда ему "лишние" права не нужны и опасны, факт. Но тогда роли отражают те же прикладные задачи, что и разные программы комплекса и в каждой программе будет одна жестко заданная роль, необходимая именно этой программе для обработки её конкретного функционала. Как вариант, внутри этих программ можно дополнительно ограничивать пользователей (типа старший бухгалтер / помощник ст.б. / младший бухгалтер / кассир со всё сужающимися правами и обязанностями), тогда программе может соответствовать несколько ролей-матрёшек, из которых программа выберет сама, когда посмотрит что это за пользователь в неё входит и как конкретно нужно подрезать ему крылья.

В обоих случаях путать пользователя непонятными и ненужными ему ролями нужно ровно настолько же, насколько ему нужно объяснять разницу между CHAR, VARCHAR и TEXT BLOB .