Когда я настраиваю права для различных групп пользователей, я не даю права на доступ в админку отдельным группам пользователей (имеется ввиду более чем одной), а создаю одну единственную группу с такими правами, например «С доступом в админ-панель». Смысл ее в том, чтобы дать минимальные права для доступа в админку (право ее загрузить, увидеть главную страницу админки (да-да, на это тоже будут права, а иначе в админку попадет, но получит сообщение Ошибка доступа), право разлогиниваться (и на это нужны права) и права редактировать свой профиль (хотя бы чтобы мог имя и пароль сменить (не login, а fullname))). И вот даже эта настройка прав иногда отнимает время. Вот выкладываю готовую настройку политик безопасности. Сохраните этот код в виде XML-файла и импортируйте в управлении политиками безопасности.
? Далее создаете группу пользователей (например «С доступом в админ-панель») и этой группе доступов даете в настройках безопасности доступ к контексту mgr с минимальной ролью member. ? И не надо придумывать помимо политик безопасности еще и роли. Двух ролей Super User и Member вполне достаточно. Роли нужны только для тех случаев когда в одной группе пользователей находятся пользователи с разными правами, но это крайне не рекомендую делать ибо сильно усложняет и без того сложный механизм доступов. Итог: захотели дать доступ в админку (а не лишним будет отметить что это крайне не рекомендуется делать кроме как тем, кто имеет непосредственное отношение к сайту) — добавили пользователя с ролью Member в эту группу и все. Пользователь сможет зайти в админку. Потребовалось больше дать прав? Создаете новую группу и настраиваете этой группе права. Зачем такие сложности? Ну хотя бы потому, что многие действия можно дать выполнять и через фронт. К примеру у вас новостной портал и люди могут публиковать различные новости. Так вот, настройки права публикации новостей (создание документов, смена статусов, публикация и т.п.) — это один момент, единый для всех пользователей, публикующих новости. Но кто-то может быть сотрудником редакции и имеет доступ в админку (чтобы иметь, к примеру, более расширенный редактор), а кто-то просто сторонний автор, который просто публикует статью через фронт. Так вот чтобы четко понимать кто имеет права доступа в админку, а кто нет, лучше держать для этого специальную группу.