Для некоторых пользователей нужно сделать недоступными часть полей документа. Как оптимальнее сделать? Создать роль и проверять на вхождение пользователя в нее, или создать справочник пользователей и проверять на вхождение в него?

Добавлять роль в которой не будет определяться доступ к объектам думаю как-то нелогично.

(0) как бы понимаем что программно они все равно эти поля эти некоторые пользователи смогут изменить?

поэтому надежно только полный запрет на уровне записей записывать с измененными этими полями

т.е. меняйте что хотите и как хотите... но если поменяли что не надо фиг запишите

А по поводу как фильтровать/отделять пользователей, так роли специально для этого и придуманы так то ))
зачем еще какие то отдельные справочники пользователей заводить?

причем роль нужно сделать обратную, не "Разрешение редактировать", а "Запрет редактировать"