1. В SQL Server 2005 я добавляю группы из Active Directory и даю им права для базы, назначаю роли

domain\vasyagroup
юзеры: vasya1, vasya2
domain\petyagroup
юзеры: petya1, petya2

2. в вебсервис (в частности) юзер присылает запрос и указывает 'domain\vasya1'
3. как мне выполнить запросы как вася и вернуь ему доступные ему резуьтаты?
потому что васи и пети будут видеть разные роезультаты

Я вижу, что можно было бы использовать
Executе as domain\vaysa1, но это проходит хорошо, если domain\vasya1 конкретно добавлен в sql server, а если через группу - то не идет.

Можно ли решить такую проблему без добавления каждого юзера в sql server?
сейчас клиент-сервер, работает так:

<приложение><->[SQLServer]
все гут

такая конструкция должна быть:

<приложение><->[WebService]<->[SQLServer]

Т.е. все запросы к сервису, а он к sqlserver,к базе

Типа трехзвенной архитектуры, но первоначальный вопрос остается, ведь сервис то будет работаь под фиксированным системным account или под IIS

а мне надо запросы выполнять от конктетного юзера, как в нынешнем варианте, потмоу, что от принадлежности к ролям получаются разные результаты

StumpЭто назывется имперсонация и делегирование.
Почитайте Безопасное подключение к SQL серверу
http://stump-workshop.blogspot.com/2006/12/aspnet.html

не совсем то, мне надо, чтобы сервис имел одну или несколько коннекций к скл серверу, приложение имело несколько сот к сервису и каждый раз, когда приложение шлет запрос, мог бы использовать существующую коннекцию, но выполнять запросы от имени конкретного юзера, который и прислал запрос.

иначе придется открывать столько коннекций, сколько приложений....