.... eh?
Irgendwas läuft da gewaltig schief. Berechtigungen kriegt man nicht, weil man sie abfragen könnte. Berechtigungen kriegt man, weil man sie haben muß, bzw braucht, bzw weil sie einem zustehen. Das ist ein logisches Modell, was man dann natürlich irgendwie umsetzen muß.
Es ist aber egal, welcher Benutzer am Ende woher was bekommt, solange nur sichergestellt ist, daß das, WAS er bekommt, auch das ist, was er -semantisch- haben sollte. Sonst könnte man für JEDER einfach Vollzugriff erlauben, dann kriegen die schon das, was sie brauchen (alles andere aber auch).
Für den Fall, daß was damit nicht stimmt, weil Benutzer Dinge dürfen, die sie eigentlich NICHT dürfen sollten, und ggf andersherum Dinge NICHT tun können, die sie eigentlich tun können MÜßTEN....
... müßtet ihr die AD-Gruppenstruktur analysieren, gucken, ob die das, was da ist, logisch korrekt abbildet, ob also alle "realen" Rollen durch Rollengruppen modelliert sind (und zum Beispiel Chefchen ein Mitglieder der "Chefchen"-Gruppe ist oder ob der es nur bis in die "Praktikanten" geschafft hat, in welchem Fall ihm wohl das Chefchen-Sein schwerfallen würde).
Danach schauen, wie die Ressourcengruppen verteilt sind. Das ist ebenfalls erstmal eine pure logische Geschichte, sprich, es muß sichergestellt sein, daß auf einer Ressource (Datei, Drucker, was weiß ich) Rechte vergeben sind für die Rollen -- dafür gibt es die Ressourcengruppen. Sinngemäß: "Chefchen_darf_lesen! als Gruppe könnte man dem Dateipfad mit Projektinformationen zuordnen; schreiben dürfen Chefchens da nicht drin, aber sie müssen wissen was geht, ergo kriegt \Projekte die Gruppe "Chefchen_darf_lesen" mit, man ahnt es, LESEN-Berechtigungen.
Dazu muß man natürlich erstmal seine Geschäftsprozesse kennen und wissen, wer was wo wie tun können MUSS und wer was wo wie nicht und wie das alles miteinander zusammenhängt.
Auf dieser Basis baut man sich dann seine Rollengruppen und Ressourcengruppen und dann gibt es am Ende nur genau zwei Möglichkeiten:
-a- Es funktioniert wie es soll, dann hat man alles richtig gemacht.
-b- Es funktioniert NICHT wie es soll, dann muß man überprüfen, ob die realen Modelle per Gruppensystematik nicht richtig abgebildet wurde oder ob man ggf irgendwo was falsch zugeordnet hatte.