Dipende davvero da come vuoi impostare le cose. Se rappresenta una struttura organizzativa, è abbastanza normale che le persone non siano in grado di promuovere qualcuno al proprio livello poiché generalmente questo non ha senso per il business.
Se la modellazione di risorse come d'altra parte, ha generalmente senso che qualcuno sia in grado di permettere agli altri di usare qualsiasi cosa a cui abbiano accesso.
È anche possibile fare un ibrido tra i due approcci in modelli di sicurezza più avanzati perché è possibile concedere alle persone la possibilità di concedere agli utenti l'accesso a qualcosa di separato dalla loro capacità di accedervi, ma questa è più una sicurezza basata sugli utenti che non i ruoli (tuttavia potresti limitare a qualcuno l'accesso a una risorsa a un ruolo nonostante il loro accesso a tale risorsa.)
Non c'è una risposta giusta o sbagliata. Scegli quello che meglio si adatta alle tue esigenze di sicurezza.