Control de Acceso mediante grupos y perfiles

Hola. Algo de orientación please!!!

Como se podrá hacer un modulo administrativo en donde los usuarios están asociados a grupos definidos de acuerdo a ciertos privilegios y permisos, los que permiten o no el despliegue de menús, links, acciones, datos, etc, etc. ?

Entiendo bien el uso de sesiones por lo que mi pregunta va enfocada a si hay algo asi como un patrón de diseño o estándar que me permita separar la lógica de los datos de la lógica del código.

Para explicarme aún más, lo que no quiero es que si los usuarios, permisos o grupos cambian, tener que estar interviniendo el código.

Se me ocurre:
- Tener en la Base de Datos: usuarios, grupos, permisos, log_transacciones, etc.
- Una clase que obtenga de la base de datos los permisos asociados a cada grupo:
grupo[A]: permiso para {link2, menu1, submit3, etc.}
grupo[B]: permiso para {menu2, deleted1, etc.}
...
grupo[N]: permiso para {x, y, z}
- Para el resto de los archivos php, todo objeto que puede ser afectado por un acceso restringido, filtrarse así:
SI ( link2 PERTENECE_A usuario.grupo ) {
// despliégate
}
..no se, algo por el estilo.

Más que código, necesito la idea, la estructura o la filosofía por así decirlo.
Gracias!!!

Hice algo parecido en una empresa, lo maneje mediante perfiles de usuario, es decir, genere un perfil para la persona que unicamente va a registrar datos en ciertas pantallas, con esto generas la matris que comentas, despues genere otro perfil para gerentes, por decir algo, este perfil, puede revisar lo que los usuarios capturan, cuestionarlo, y editarlo, agregar comentarios, estatus, etc., otro perfil de director general, con solo reportes y graficas de avance, y por ultimo un perfil de administrador, el cual puede entrar a catalogos y datos propios del sistema, el punto es, generar pequeños grupos de trabajo, mediante perfiles de usuario, y definir que pueden hacer los usuarios del perfil gerente, con esto cada usuario que tu des de alta, con el perfil gerente podra hacer lo que esta definido en el perfil, generas cuantos perfiles te sean necesarios y con esto controlas la matris que pensaste hacer, asi lo hice yo, espero te sea util.

Hola phidalgo, me parece muy interesante lo que comentas. Yo estoy buscando lo mismo, ¿has encontrado algún framework, patrón o teoría de trabajo que trate el tema? Yo estoy interesado en que la creación de nuevos perfiles de usuarios (con la aplicación terminada) no requiera la modificación de ni una línea de código. Tal y como tu planteas, pretendo tener toda la lógica referente a ello en base de datos.

Muchas gracias.

Gracias "SUSEJoOHCAN", solo que mi pregunta no va enfocada a como operar perfiles y grupos de usuarios, de todos modos tomaré en cuenta tu planteamiento, gracias por responder.
"DeHoyNoPasa" por ahora tengo que dejar congelado este tema pues me cargaron la mata con otro trabajo :p ...cuando lo retome y si sale algo desente, lo posteo.