Имеется система, состоящая из нескольких приложений. Некоторые пользователи имеет полные права во всех приложениях, некоторые - только в одном (или паре) из приложений, а есть те, кто имеет право использовать только часть одного приложения (т.е. открыть его, загрузить бизнес-объект и исправить только строго ограниченные его поля).
В качестве БД используется mssql. Приложения обращаются к БД вызывая ее ХП.

Как это правильно организовать ? Насколько знаю, учетные записи пользователи должны находиться в самой БД. Можно наделить правами на определенные ХП определенных пользователей. А как например приложение узнает, что данный пользователь не имеет права даже логиниться в определенном приложении ? Или как приложению определить, что пользователь имеет право редактировать только определенные поля бизнес-объекта ?

Изопропил
Что произойдёт, если пользователь соедидится с базой посредством QA,Management Studio,TOAD или какой другой тулзой, хоть Excel (особенно удобен 2007) ?

Если это не пугает, можно продолжить обсуждение конкретных вопросов.

ему-же назначены права, запрещенные ХП он не запустит, равно как и таблицы открыть не сможет, если его роли закрыт доступ к ним

хм, никто не знает ?