Если у тебя для подключения к базе требуется имперсонация, то у меня на это даже слов нет.

Не нужно тебе это. Потому что так делать это вообще треш, угар, и содомия.

Веб-приложение должно обращаться к БД только под одним-единственным собственным аккаунтом. Про каких-либо пользователей БД знать не должна - для неё есть единственный пользователь - это само веб-приложение. Если нужна какая-либо аутентификация и авторизация, то это делается на уровне приложения, а не на уровне подключения к БД.

Про ДБА еще поверить могу - они и не такого нарекомендуют Но вот с МС ты явно что-то не так понял. МС рекомендует использовать Windows аутентификацию на SQL сервере. Но это вовсе не означает, что так надо аутентифицировать каждого пользователя веб-приложения.

Никак. Приложению просто даются определенные права - как правило это чтение и запись в любую таблицу. Права каждого пользователя определяет и ограничивает уже само приложение.

"Чтение и запись в любую таблицу" это очень и очень далеко от "максимальные права".

Это именно так и следует делать. Одно имя входа для приложения с правами ровно теми, которые приложению нужны. Распределение прав конкретных пользователей уже внутри самого приложения. А твоя схема с "ein Volk ein Furhrer один пользователь один логин" в первую очередь напрочь убьет пул соединений.

listtoview,

Ты еще просто путаешься, считая, что если делать Windows Authentication (что вполне нормально и действительно рекомендуется), то это означает коннектиться от имени каждого пользователя. Само приложение тоже может коннектиться через Windows Authentication - просто аккаунтом под которым выполняется пул приложений - и такая схема как раз очень часто применяется.

Это вообще не имперсонация, а "Windows Authentication" сиквел сервера, с имперсонацией она никак не связана.

Смотри. Объясняю очень детально. в дотнете у каждого потока есть на самом деле 2 креденшиала, которые могут быть разными. Один это "дотнетовский" и это может быть все что угодно, что реализует IPrincipal. Второй это всегда "виндовый". На сиквел поток лезет под этим самым "виндовым" креденшиалом. Дальше все зависит от конкретного расклада. Если в приложении виндовая аутентификация, но нет имперсонации, тогда "дотнетовский" креденшиал будет креденшиалом текущего пользователя, а "виндовый" креденшиал будет креденшиалом пула приложений IIS. Если виндовая аутентификация и есть имперсонация, то "виндовый" креденшиал тоже подменяется на креденшиал текущего пользователя. Если аутентификация приложения вообще не виндовая, то имперсонация ни на что не влияет и "виндовый" креденшиал будет всегда креденшиалом пула. Ну вот, при конфигурации и исходи из вышеизложеного.

listtoview,

Если еще точнее, то в дотнете любой поток это, на самом деле, типа как два потока - "физический" поток операционной системы и "логический" поток дотнета (System.Threading.Thread). И у каждого из них свой собственный креденшиал. Просто когда проектировали самую первую версию дотнета, то предполагалось, что поверх одного потока ОС может быть несколько потоков самого дотнета, потом от этого отказались, но вот такое расслоение все-таки осталось. Тот креденшиал что ты видишь через HttpContext.User это на самом деле креденшиал текущего "дотнетовского" потока - если ты посмотришь в System.Thread.CurrentPrincipal то увидишь там то же самое, что в HttpContext.User.

Все абсолютно верно.

Безопасники такой народ, что с ними можно договориться до того, что заставят еще под каждого юзера свою БД развертывать.