Добрый день.
Вот две статьи про
RBAC. В первой статье как раз рассматривается вариант с тремя ролями - админ, модератор и пользователь.
Для неподтверждённых, я думаю, можно ориентироваться на статус, так же как и для заблокированных. Если статус не "активен", то они не смогут войти под своими учётными записями и соответственно не смогут попасть в закрытые разделы сайта.