L'idée serait de créer un rôle "Spectateur", qui "empêche" (et donc restreint) certaines capacités. Ce rôle sera ajouté (en plus du rôle "Étudiant") aux personnes souhaitées, aux endroits souhaités.
L'avantage est la "ré-utilisabilité", si c'est toujours les mêmes droits que tu souhaites pouvoir retirer, car le rôle peut directement être utilisé dans différents cours, catégories, et pour les utilisateurs souhaités.
La dérogation aux permissions s'applique elle pour toutes les personnes possédant un certain rôle dans un certain contexte.
Les deux solutions sont donc possibles, et l'emploi de l'une ou de l'autre dépend surtout (de la généralisation) de l'usage que tu comptes en faire.
Séverin