К сожалению, пока раздела документации по данному вопросу - нет. Постараюсь объяснить здесь, как это все работает.
В системе используется битовая система прав, права назначаются группе пользователей.
Права пользователя - есть сумма прав всех групп, к которым принадлежит пользователь.
Исходя из этого права должны идти по нарастающей. У гостей меньше всего, у клиентов больше, у частных групп еще больше, так как права суммируются в большую сторону и могут только нарастать. (почему так, будет понятно ниже)
Теперь о группах. В системе есть 2 особенные группы, которые назначаются автоматически системой.
1. Гости - эта группа присваевается абсолютно всем пользователям и не авторизованным тоже. Любой посетитель вашего сайта - это точно Гость.
2. Клиенты - это авторизованный пользователь. Т.е. как только Гость авторизовался, он стал и Гостем и Клиентом.
Остальные группы также могут быть назначены пользователю и они соответственно будут получены пользователем после авторизации.
Если вы предоставите все права Гостю, то вы не сможете отнять их у Клиента, именно поэтому права должны идти по нарастающей.
----------------------------------
Система по сути сейчас проверяет права на запись перед записью любого объекта
и на чтение при обращении к блок-контроллерам.
Само по себе, что у Гостя есть права на все модули по сути позволяют ему пользоваться всеми дозволенными ему функциями в клиентской части, что является абсолютно нормальным. Гость все равно не может ничего выполнить, что дозволено только авторизованным пользователям, так как на это отдельно стоят проверки в контроллерах.
Вы, разрабатывая свой модуль можете задействовать 8 бит, т.е. придумать 8 разграничений прав для своего модуля. На практике этого вполне достаточно для одного модуля. Если мы увидим, что этого мало, можно легко увеличить количество битов для прав.
-----------------------------------
Дополнительно имеется возможность настраивать видимость пунктов меню для разных групп пользователей. Права на пункты меню также суммируются. Т.е. если только одной из групп, к которой принадлежит пользователь, дать права к пункту меню, то такой пункт меню будет уже виден пользователю.