Saludos

Tengo una duda de diseño-conceptual.

Requiero desarrollar un módulo de ACL para aplicar a un sistema, donde algunas reglas no están claramente definidas aún, pero va más o menos así:

Objetos que se quieren controlar:
Opciones de administración (crear usuarios, cambio de contraseña par usuarios, creación de opciones de menú)
Tablas básicas (las tablas que servirán para el llenado de otras)
Tablas detalle
Consultas (reportes, etc)
Otros

Objetos que solicitan el control:
Roles:
Administrador del sistema
Administrador de datos básicos (no todos tiene acceso a la edición de datos básicos)
Encuestador (llenan los datos correspondientes a las tablas detalle)
Visitante (consultas que no requieren login al sistema)

Usuarios:
Es posible que los datos básicos se carguen por separados, delegando las responsabilidades
Es posible que un encuestador esté "suspendido" temporalmente de acceder al sistema

Consideraciones:
Es posible restringir el acceso de usuarios/roles según direcciones IP de tipo 192.x.x.x
Es posible restringir el acceso a usuarios bajo ciertas otras condiciones

¿A nivel de BD, cómo debería ser, más o menos, y según sus experiencias, las tablas a implementar?

Gracias de una