Разграничение прав администраторов

Существуют:
Superadmin из группы Administrator ( с неограниченными правами редактирования в админке)
Redactor из группы SubAdministrator (с ограниченными правами редактирования в админке)
Юзеры из группы Partners (с правами посещения закрытых ресурсов во фронт-энде)

Требуется:
Чтобы Redactor мог создавать, редактировать, сохранять, удалять и добавлять в группу Partners всех юзеров
И чтобы Redactor не мог ничего из вышеперечисленного сделать с Superadmin`ом

Вопрос: КАК?



Если уж предоставляешь Redactor`у в политиках доступа permissions`ы на редактирование пользователей — то уж на всех, включая самого главного админа. Разграничения по группам нигде не нашел.

Есть правда еще роли, но они, как я понял тоже распространяют действие набора разрешений на всех пользователей без разбору. Во всяком случае админ с ролью 10 легко удаляет админа с ролью 0.

Кто-нить может что присоветовать? Или ссылками закидать. В сети есть несколько статей по теме, но указанной специфики они не касаются. Плюс мануал Creating a Second Super Admin User — но он, опять же вроде как ничего дельного не рекомендует.