Требуется ли ROLE_ADMIN для этой настройки?

Мне нужна помощь в настройке конфигурации ROLE-иерархии в проекте Symfony2. У меня есть две области frontend где пользователи с ROLE_CHAT должен быть в состоянии войти и backend где только ROLE_ADMIN позволено. У меня есть еще две роли: ROLE_EXECUTIVE а также ROLE_LOADER1 но это не может получить доступ ко всем областям под бэкендом, как показано в таблице ниже:

Item            ROLE_ADMIN  ROLE_CHAT ROLE_EXECUTIVE ROLE_LOADER1
User                x
Category            x
Command             x                       x               x
Alias               x                       x
Report              x                       x               x

У меня возникли некоторые проблемы, потому что я не знаю, как правильно настроить role_hierarchy под security.yml чтобы разрешить разрешения, указанные выше. Вот что я сейчас имею:

безопасность:
кодеры:
FOS \ UserBundle \ Model \ UserInterface: bcrypt

role_hierarchy:
ROLE_CHAT:        ROLE_USER
ROLE_LOADER1:     [ROLE_USER, ROLE_ADMIN]
ROLE_LOADER2:     [ROLE_USER, ROLE_ADMIN]
ROLE_EXECUTIVE:   [ROLE_USER, ROLE_ADMIN]
ROLE_ADMIN:       [ROLE_USER, ROLE_CHAT, ROL_EXECUTIVE, ROLE_LOADER1, ROLE_LOADER2]
ROLE_SUPER_ADMIN: [ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]
providers:
fos_userbundle:
id: fos_user.user_provider.username_email

firewalls:
dev:
pattern:  ^/(_(profiler|wdt)|css|images|js)/
security: false

main:
pattern: ^/
anonymous: ~
provider: fos_userbundle
form_login:
csrf_token_generator: security.csrf.token_manager
always_use_default_target_path: true
default_target_path: root
use_referer: false
remember_me: true
logout:
path: fos_user_security_logout
target: root
remember_me:
secret:   '%secret%'
lifetime: 604800 # 1 week in seconds
path:     /

access_control:
- { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }

- { path: ^/chat/, role: ROLE_CHAT }
- { path: ^/admin/, role: ROLE_ADMIN }

Мое сомнение здесь: чтобы получить доступ к серверной области ROLE_CHAT,ROLE_EXECUTIVE,ROLE_LOADER1 потребности ROLE_ADMIN также? Есть ли другой способ настроить это? Я не знаю, можно ли это исправить с помощью access_control или даже выходит за рамки и использует ACL, который делает все более сложным, какие-либо советы по поводу этой установки? Идеи? Как бы Вы это сделали?