ロールは権限を集めたページ。グループは利用者の上位ページ。
権限を利用者に与えるように、ロールをグループに与えられる。
ロールの内容はページ/属性なので継承可能。
属性/継承を使って、新しいロールをグループに与えることで、多数の権限を多数の利用者に与えたり、剥奪したりできる。
グループに含まれる利用者についてはページ/属性に書く † 
属性/継承できるのは属性のみ。グループに含まれる利用者というのはページ/属性でなければならない。どう表現するか?
→ 利用者のページ/属性にグループ名を書く。あとは参照側で対応。
グループは利用者の上位ページで継承元。グループと利用者に区別なし。
ロールは権限(鍵)を集めた単一ページ。このページを扱うための権限(錠)は通常のページと同様にある。
グループにロール名を書く †
利用者に権限名を与えるように、グループにロール名を与える。(そして利用者に権限名でなくグループ名を与える)
グループ×ロール名を書くためのページを用意する方法もあるけど、ロール/グループごと組み合わせを変えられたほうが運用に合いそう。
参照順序は利用者→グループ→ロール→権限、または利用者→ロール→権限。
ということはグループとロールは同じ型?グループ→ロール間は一方的。組もうと思えばグループ←→ロールの双方向関連にもできる型になる?
区別しない †
実装上は区別しないほうが良さそう。「グループ」「ロール」と言うよりは「権限セット」と呼ぶべき。それにロールっぽい名前を付けたり、利用者グループっぽい名前を付けたりするのは自由。どう呼ぶかは運用の問題。
実は不要 †
基本は権限を直接コピペすること。グループ/ロール/権限/継承は手間を省くためのもの。
複数グループに所属するときは、利用者ページの別名を作る †
グループをネストするときはグループ自体がそういう位置付けになっているとき。所属する利用者の都合でグループに手を加えないこと。
同じ利用者が複数のグループに属するときは、利用者ページの別名を作る。別名のほうを第二のグループに所属させる。