Wenn ich Dich richtig verstehe versuchst Du eine Role Based Access Control umzusetzen. Ich würde dazu die Verwendung eines geeigneten DBMS empfehlen, die können das bereits, auf Dateiebene stelle ich mir die Umsetzung ziemlich schwierig vor, es sei denn, der Admin hat Zeit und Lust, das über Active Directory entsprechend einzustellen.

[edit] Roter Kasten mal wieder im Urlaub? [/edit]

Ich habe bisher in der Richtung noch nichts gemacht und habe daher keine Erfahrung damit. RBAC klingt prinzipiell einmal in etwas danach was ich machen möchte.
Zunächst geht es dabei um eine recht kleine Userzahl, so ca 10-12 Personen.
Ich möchte mir um die Usersteuerung auch gar nicht soo viel Arbeit aufhalsen, es geht mehr um die Richtung in die es gehen könnte.
Die Frage von Rufo Wie würde man es anders machen? Irgendwo müssen die Daten doch stehen?!

Wie wir beide schon gesagt haben: nimm am besten eine Datenbank dazu.

Ich hab mal etwas ähnliches gemacht.

Eine Tabelle mit Rollen, was deinen Abteilungen entspricht.
Eine Tabelle mit Usern, die für das Prog. zugelassen sind, mit DomäneNamen und einem Feld "Admin- Ja/Nein."
Eine Tabelle wo Usern Rollen zugeteilt werden.

Der User wird anhand seines Domäne-Namen erkannt, so steht er auch in der Tabelle.
Nur User, die in der User Tabelle stehen können das Prog. überhaupt starten.

Um Mißbrauch eines nicht gesicherten Arbeitsplatzes zu vermeiden kann beim Start zusätzlich nochmal ein Loggin erfolgen. Dies benutzt aber auch den Domäne-Namen und -Passwort und verifiziert das über eine entsprechende API?-Funktion.

So müssen sich die User nicht so viele Passwörter merken. Umgekehrt heißt das natürlich, dass einem Tür und Tor offen stehen, wenn man das Anmeldepasswort eines Kollegen rausgekriegt hat. Ist halt immer die Abwägung zw. Sicherheit und Bequemlichkeit.

... oder vielleicht kommst du damit weiter:

TMS Security System
http://www.tmssoftware.com/site/tss.asp

Braucht zwar auch eine DB, muss aber wohl nix besonderes sein.

Zitat vom Hersteller...

Gruß
Steku

Puh, da hab ich ja jetzt wieder einiges zu lesen, danke Euch.
Momentan geht es mir auch noch nicht darum, das ganze 99,999%ig Hack-Proof zu machen, sondern eher darum, die einzelnen User nicht mit zu vielen und für sie irelevanten Informationen zuzumüllen, sondern jedem die Infos zu geben, die er braucht, und niemandem außer einem Admin die Möglichkeit zu geben, (auch aus versehen) zu viele Daten zu ändern.