Hallo Regina,
da ich mich gerade intensiv mit exakt diesem Thema beschäftigt und gerade heute ein Issue dazu auf Gitlab gepostet habe, hier meine 2 Cents zum Thema:
Zunächst: WP-Zugangsberechtigungen haben immer Vorrang vor CiviCRM ACLs.
Das bedeutet: Da die entsprechenden WP-Permissions nicht in Bezug auf einzelne Gruppen unterscheiden, müsstest Du die WP-Permission zunächst für alle Rollen deaktivieren, um die Berechtigung dann frei über ACL-Regeln definieren zu können.
(Das dürfte der Grund dafür sein, dass Deine Kollegin Kontakte aus „verbotenen“ Gruppen sehen konnte, obwohl Du entsprechene ACL-Regeln erstellt hattest, die das verhindern sollten. Die ACL-Regeln greifen erst, wenn die WP-Permission deaktiviert ist.)
Nun beginnen aber in der Praxis erst die richtigen Probleme, denn ACLs kann man immer nur „positiv“ definieren, also Zugriff (Ansehen / Bearbeiten) erlauben, aber nicht per Regel verbieten.
Das bedeutet: Durch die Deaktivierung der WP-Permissions hat nun ohne entsprechende ACL-Regeln keine User*in die Berechtigung, Gruppen bzw. Kontakte aus Gruppen zu sehen bzw. zu bearbeiten. Um Dein Ziel zu erreichen (nur die Gruppe/Rolle „Geschäftsführung“ darf Kontaktgruppe 130 bearbeiten, alle anderen dürfen sie nur sehen), müsstest Du nun für alle Gruppen die Rechte über ACLs kleinteilig definieren - und zwar für jede Gruppe einzeln.
Das kann bei vielen Gruppen (130!) zu einem unmöglichen Task werden. Das entsprechende Regel-Geflecht dürfte unüberschaubar werden und nur schwer zu administrieren sein. Mal abgesehen davon, dass Du jedes Mal, wenn Du eine neue Gruppe erstellst, eine zusätzliche Regel erstellen müsstest.
Mit „negativen“ ACL-Regeln wäre die Aufgabe aus meiner Sicht deutlich einfacher, weswegen ich gerade heute ein entsprechendes Proposal auf Gitlab gepostet habe, das sich über Unterstützung in Form von Upvotes freuen würde:
Fazit: Bei 130 Gruppen würde ich Euch von dem Vorhaben abraten - zumindest solange es noch keine Möglichkeit gibt, negative ACL-Regeln zu erstellen.
Oder liege ich falsch und ihr habt in der Zwischenzeit eine Lösung gefunden?
Viele Grüße
Tobias