Достаточно кривое требование... Можно решить, убрав галку на чтение в роли, и создав объект права на чтение для конкретных нужных каталогов, от этой роли

но что-то очень кривое... очень похоже, что начальную задачу криво сформулировали...

и карточку права надо пометить галкой, чтобы автоматом не отключилась при сохранении роли и обновления списка прав

модуль безопасности посмотри. там есть раздел "Выданные права". Собственно, они и определяют доступ к объектам. А та галка, что ты ставишь в роли - это легаси. Так что, если ты галку в роли не поставишь для модуля - то модуль в списке показан не будет. Но, при таком варианте, не будет доступа к объектам модуля - потому как скрипт при сохранении настроек роли заблокирует выданные права на объекты, которые к данному модулю относятся. Но если ты руками эти права создашь (или активируешь ранее созданные) - то пользователю будет разрешено открыть данный тип объекта с сервера. А чтобы скрипт снова тебе эти права не заблокировал - ставишь галку "не обновлять автоматически". Так понятнее? Вроде то, что тебе нужно...

А "кривое" - это потому, что я, в свою очередь, не понял - зачем именно такой вариант нужен...