Ahol rajtam múlik, ott a "jogosultságokat" akár egyetlen fájlra, de akár az egész cégre ki lehet assignolni és ezen belül szinte minden értelmes változat előfordulhat.
De...
Bevált recept a következő: ha nem nagyon speciális emberi lényről, pl. "semmiközödmitcsinálésharájösszsemtudhatod"-típusú tízhúszmillás tarifájú ellenőrről, tanácsadóról, stb. van szó, akkor a belépési folyamat részeként, mialatt ő a tűzvédelmen ücsörög, megérkezik a job description és az általános profilja a munkakörrel, képecskével, beosztással, kompetenciákkal, feladatkörökkel... ennek alapján ha belefér valamelyik "skatulyánkba" (ritka aki nem), akkor create by template és ennyi. Ezek a templatek alapból tényleg csak azt engedik, ami kell és semmi többet, de nem is kevesebbet.
Aztán... pár hónap múlva, ha már megtalálja magától a WC-t, akkor sem úgy működik, hogy majd én, mint mindenható IT-s eldöntöm, hogy ő "bizonyított" (é: minimum 1x megzabáltatott valamelyik egészségtelen gyorsétteremben és én legalább 3 hambit kaptam)... nem. Általában az történik, hogy elkezdenek bejönni a problem ticketek vagy tőle, vagy a főnöke(i)től, hogy ezt nem tudja megnyitni, oda nem tud commitolni, amott meg nem tud virtuálisgépet létrehozni 3 gigánál nagyobb memóriával, stb... tehát elkezd hallhatóan sercegni a bőr a villanypásztor körül, de jól látszik, hogy nem azért, mert át akarja szakítani a kerítést, hanem mert kinőtte a ketrecet... ilyenkor finomítunk a profilján... ha az elején jól "skatulyáztuk be", akkor keveset kell finomítani, ha nem, akkor sokat... nagy vonalakban ennyi...