1. Имеется SQL Server 7.0 на котором есть две базы данных Database1 и Database2
2. На SQL Server'е применяется интегрированная аутентификация
3. Процесс aspnet_wp.exe выполняется под аккаунтом MYDOMAIN\ASPNET. Олицетворение не активизировано.
4. Для доступа к этим базам данных в SQL Server'е настроены логины к этим БД для ASP'шного аккаунта.
5. IIS 5.0 доступ к приложениям анонимный
6. К серваку доступ имею.
Если для решения проблемы важно иметь SQL Server 2000, то установлю его...

Имеется два ASP приложения. Исходя из того что оба приложения выполняются одним и тем же aspnet_wp.exe, ПРЕДПОЛОГАЮ что они могут коннектится к любой из баз данных с логинами для ASP'шного аккаунта.

А теперь представим что мы размешщаем на серваке подозрительные приложения. Или просто коряво написанные. (например мною :$ )
Вдруг в одном из приложений будет возможность писать клиентам SQL выражения, а оно будет их передавать на сервер!!!....

Как осуществляется защита в таком случае?
Как назначить разные аккаунты процессу aspnet_wp.exe для разных приложений?
Как решить подобную задачу если в IIS стоит NTLM, в ASP.NET impersonate=true а в локлке имеется более 700 юзеров с очень сложной организацией структуры в AD.