Поскольку мы люди "добрые", про принцип работы по отношению к тем, кому, наоборот, дают от ворот поворот, я начал забывать:)
Идея была такая: априори принцип "разрешить". Т.е., если ты одной группе, в которой состоит юзер Ю постаить "доступ закрыт", а другой группе, где он же состоит, поставить "читать", то он сможет читать
А в общем случае просто выбираешь уровень доступа "читать" или вообще "доступ закрыт"