Надо учитывать главное правило в политиках безопасности MODX — «Если ничего не запрещено — можно все и всем. Если хоть для кого-то настроены политики, то все остальные лесом ходят, если им явно не даны права».
 В сборке 5 медиасурсов. В трех из них кроме администраторов и разработчиков делать нечего (вся файловая система, шаблоны и контроллеры). Потому на них даны права только админам. Если группе разработчиков надо будет дать права на медиасурсы, это уже сами добавите. Менеджерам кроме как в картинках и файлах делать нечего. Чтобы картинки в картинки закидывали, а файлы в файлы (хотя я допускаю с большой долей вероятности, что картинки так же будут загружаться и в файлы, а файлы в картинки :-)). Переименовывать и удалять файлы и картинки им совершенно ни к чему, иначе структура сайта будет под угрозой и SEO-шники повешаются.

Ну теперь все понятно!) Огромное спасибо. Еще по-мелочи взялся настраивать и политики доступа менеджеров к источникам файлов, чтобы они в корне сайта не копошились. Вроде все получилось — Administrators с правами на Filesystem — Media Source Admin, ContentManagers с правами на Картинки — Media Source Admin — Однако менеджеры могут загружать, но не могут удалять файлы? Какая то фича?
 
upd: похоже все таки, какой-то баг tracker.modx.com/issues/6746, в таком случае легче просто дефолтный источник указать, думаю не будут особо лазить.

И сразу вопросы тогда — зачем в политиках 2-й Site Administrator — нельзя ли первому добавить новых значений
Я в топике писал:
 
UPD: Обновил пакет. На modxcloud.com выявился неприятный баг: при переустановке или обновлении MODX-а восстанавливаются базовые политики безопасности (при чем сами шаблоны не восстанавливаются, а именно политики восстанавливаются (Access Policies)). В общем сделал копии политик (Site Administrator и Site Content editor) и настроил все на них. Теперь можно не бояться переустановки MODX-а. 
То есть приходится с копиями работать, так как иначе при переустановке слетают настройки.
 
зачем несколько копий шаблонов политик доступа — с нулевыми разрешениями — ContextTemplate, Media Source AdminTemplate
Я не знаю в какой момент они обнулились, но вообще у ни должны быть свои настройки. Я это уже пофиксил, просто не выпускал новый релиз ради этой мелочи. В следующем релизе там будут значения.
 
вроде там допиливали что-то для судо юзера?
Для sudo все разрешено. Но не всем же дашь sudo, а есть и те политики, которых нет из коробки, к примеру Debug для плагина Debug и console для компонента Console:) Ааа, еще и для CMPGenerator тоже настройка есть.
 
Еще в Technical pages, под алиасом 401 ссылка на 403 ошибку в системных настройках
В русской версии перевода путаница с 401 и 403. У MODX-а есть базовые хендлеры только на 404 и 401. 
$this->sendForward($this->getOption('unauthorized_page', $options, '401'), $options);

Копаю сборку — чувствую, что изучить работу с CMPgenerator в очень далеких планах ;) но в остальном очень интересно. 
 
Настройка политик доступа для менеджера, наступил чуть раньше на грабли (админ терял доступ к собственному сайту), но наконец то могу вникая посмотреть изучить. И сразу вопросы тогда — зачем в политиках 2-й Site Administrator — нельзя ли первому добавить новых значений, зачем несколько копий шаблонов политик доступа — с нулевыми разрешениями — ContextTemplate, Media Source AdminTemplate. Все еще обязательно прописывать группе Администраторов разрешения на разграниченные ресурсы, вроде там допиливали что-то для судо юзера?
 
Все не привыкну как оригинально модекс разгранчивает права — дал админу права mgr на technical pages — они исчезли из mgr в группе менеджеров)). Еще в Technical pages, под алиасом 401 ссылка на 403 ошибку в системных настройках, и как ее получить? на серваке nginx отдают свою стандартную «access denied». Пока вроде все))

Плагины использовать ни к чем для этого. И самому писать незачем. Есть сниппет Breadcrumbs.

Целесообразно ли использовать плагины для «хлебных крошек» или попробовать сделать самому?

Так вполне приемлемо, так как пути к файлам ты пишешь относительные, но они всегда высчитываются от корня папки шаблона. В итоге ты один и тот же путь можешь указывать вообще из любого положения.