ひとつのグループが多数のグループ継承したり、ひとつのロールが多数のロール継承すると、属性/継承の実装次第で権限を増やすか、減らすかの一方しかできなくなりそう。
錠と鍵の他に「禁止」を継承するようにして解決済み。

どちらかと言うと権限を増やすほうにしたい。

複数グループに所属しているときは、そのうちの1つで許可されていればいいということにすれば可。
→ 「禁止」を導入して、グループごとに判定するのは却下。管理者であっても「制限付きユーザー」といったロールを持っていればロールを越えて「禁止」が有効になるので、制限付きになる。

グループ権限を集めるだけのもの。権限を集めたらもうグループは考慮しない。もういい