Danke für deine Antwort.
Klaro ist das sinnvoller, aber der Aufwand ist natürlich auch sehr viel höher 
Quasi jeden Service einzeln in jedem Hostobjekt irgendwie beackern…da wäre “die andere Idee” ein wenig einfacher.
Kann man das auch im BI reglementieren, also so etwas wie: “Nutzer A darf BI_001 und daraus resultierende Services und Hosts sehen, Nutzer B darf alles sehen und Nutzer C darf gar keine BIs sehen”?