# md
Группа:
Группы входит в группы:
Люба вложенность групп разрешена глубина 10. order sort uniq
Стоит ли делить группы и группы прав.
Пока считаем, что нет, но рекомендуется perm_admin для удобства фильтрации.

# описание модели юзера, групп, ролей, групп прав
Роль=вакансия=должность у нее может быть колво ставок

bill5.devel.webdev.msk@carbonsoft.ru
имхо msk вредно тк мобильность важней
тогда все же
bill5.devel.webdev.1@carbonsoft.ru
группы входят как деревом отделов по дефалту для структуры организации
так и возможно любую группу и любую должность вложить(тегировать) любой другой группой
Группа(подразделени) или Должность может иметь парентом Группу или Должность.

CEO  - Генеральный директор
 СCO - Коммерческий директор
       Функциональный руководитель продаж
 CTO - Технологический директор
 CIO - Технический директо
 SUP.MENTOR - Функциональный руководитель поддержки
 DIGITAL.MENTOR - Функциональный руководитель по тендерам
 CFO - Финансовый директор, рук.общего отдела, кадров, бухгалтерии
       зам.директора по тендерам
    common
    buh
    officemanager
 cloudfox
   ФИО1
   vps
   monitoring
 AS
  ФИО2 - рукводитель направления АС
  billing
           # Проект Биллинг
           # Основная Группа bill5 == рассылка bill5@carbonsoft.ru
           # Входит в группы AS, crm_task, wiki
           # Руководитель группы Указываетя должность руководителя группы
     Руководитель продукта - ФИО3
     devel # Отдел Разработки - группа devel
        devteamlead.1
        webdev.1 - as.billing.devel.webdev.1@carbonsoft.ru
                   msk, admin, cloud_admin, gitrd_admin, gitlab_admin, crm_task
           # непосредсвенный начальник
           # устанваливается руками тк не всегда равен группе
           # но можно делать через галочку непосредственный начальник
           # дополнительные поля у фио могут быть например джун и ставка123
           # а также допы персональная премия скрытое поле
     sales # as.billing.sales.salesmanager.1@carbonsoft.ru
     support
     marketing

Возникает некоторая сложность где же вести кадры.
По идее в crm но структура организации и ldap плотно связана с правами доступа
И тогда должна вестись в users в crm
account.carbonsoft.ru - сервис авторизации в идеале должен работать автономно
    но как получать группы доступа? можено через api нно кешировать тогда
    да гуд, и группы просто сохраняются в полях пользователя, но линейно без вложенности.
    Но по идее этого достаточно для ldap и memberof
active.carbonsoft.ru - здесь уже кадровый учет, если он нужен или линейная схема.