Обычно ж вроже так:
Группы юзеров — для них базовые настройки безопасности
Юзеры — индивидуальные настройки, делегируемые с групп, юзер может состоять в нескольких группах
Дерево действий — иерархическая хрень, от корня к веткам свои галочки в безопасности. Новая ветка — наследование от корня и т.д.
Сделать быстро можно используя рекурсию и кеширование.
