Неплохо было бы обсудить реальные варианты СУП (систем управления правами), поскольку тема действительно актуальная.
В phpGACL есть один недостаток, который в статье и упомянут: она не защищена от ошибки пользователя, то есть возможен случай вхождения пользователя во две взаимопротиворечащие группы. Не было времени читать всю ветку, возможно, есть еще явные "недостатки", но вот мой пример системы контороля доступа (выдумался только что, скорее всего гораздо хуже описанного в статье, просто как идея):
Два типа групп: группы разрешающие и группы запрещающие, причем второй тип групп приоритетнее первого.
Пример: группа "Имеющие доступ в машинное отделение" и группа "Не имеющие права ходить в сортир". При разборе сначала все DENY, потом разбираем В ЛЮБОМ порядке все группы разрешающие, затем все группы запрещающие и, наконец, индивидуальные права юзера. Создавать такие группы, очевидно, сложнее и неудобнее, но тем не менее проблему с несовместностью прав они решают полностью.