Господа, ткните носом, куда копать.
Поиск не прояснил ситуацию.

Задача такая:
Есть серверное приложение к которому коннектятся пользовательские приложения по сети.
Серверное приложение проверяет пользователя по своему перечню ролей, разрешает ему некоторые свои сервисы и от имени его (пользователя) коннектится к БД, получает от туда некоторую информацию (если она разрешена этому пользователю), некоторым образом ее обрабатывает и отдает пользователю.
Сейчас так - пользователь вводит свой логин и пароль, которые ему выдает админ. Админ должен эти логины и пароли ввести в серверном приложении, назначить там для них определнные полномочия и завести в БД пользователей с такими же логинами и паролями и еще и там назначить права доступа (не очень удобно, но...). Клиентское приложение при авторизации пользователя берет его логин и пароль и в зашифрованном виде отправляет на сервер, серверное приложение ищет пользователя в своем списке и согласно определнным для него полномочиям что-то для него выполняет, а также коннектится к БД от его имени.

Пока используется авторизация по логину/паролю. Требуется расширить возможности и использовать идентифиционную информацию пользователя, авторизировавшегося в системе (Windows-авторизация).

Отсюда вопросы:
Что должно клиенское приложение отправить серверному, чтобы серверное могло однозначно идентифицировать и верифицировать пользователя?
Как серверное приложение сможет выполнять подключение к БД от имени конкретного пользователя (пользователей много а серверное приложение работает под отдельной, не всегда системной, учетной записью)?
Какими правами должна обладать учетная запись под которой работает серверное приложение?

Читал общую инфу про СБ Windows и AD, про вские там SID-ы, квоты и пр., но не осознал как это применимо в моей ситуации.
Подскажите, плз, литературу, способ реализации, где искать и куда копать?