Добрый день.
Начал разбираться в проектировании БД и систем, и возник следующий вопрос:

Предположим есть задача создать довольно крупную систему и БД к ней, тема в принципе значения не имеет. Основные требования такие:

1) В данной системе может быть любое кол-во пользователей 10....n в разумных приделах конечно.:)
2) Приложение создается полностью на модульной основе с периодическим добавлением новых модулей и новым функционалом, т.е изначально не известен полный функционал системы.
3) Большое кол-во различных вариаций доступа к тем или иным данным в БД.

Так вот, как лучше всего организовать доступ пользователей из ПО в БД:

1) ПО подключается к БД под одной какой-то определенной учетной записью с длинным стойким паролем и доступом на запись во все таблицы, доступы непосредственного пользователя разграничиваются программно непосредственно в ПО по выбранным в нем доступам.

2) Писать очень большой доп. модуль к ПО который будет создавать конкретных пользователей в БД и раздавать им гранты на структуру таблиц, на основе необходимых доступов в ПО.

Добрый день, извиняюсь за долгое отсутствие.
Возможно, да написал не совсем понятно, попробую подойти с другого бока.

Итак:

Задача:
1) Предположим есть самая проста задача хранить в БД какие-то действия пользователей. Для простоты пусть это будет 2 поля в одной таблице БД ( имя пользователя, действие).
2) Кол-во таких пользователей заранее не известно.
3) Каждый такой пользователь должен иметь имя и пароль чтобы смотреть свои действия, а так же действия того пользователя к которому ему может быть предоставлен доступ.
4) Есть какой-то графический интерфейс для работы с системой.
5) Создание пользователей, раздача доступов должно происходить в данном GUI, без использования встроенных менеджеров SQL серверов.

Вопрос:
Каким образом предоставлять доступ пользователей и приложения к БД?

Варианты:
1) Каждому пользователю программным путем через GUI создавать пользователя на SQL сервере давать соответствующие гранты. Но тогда возникает проблема что например продвинутый пользователь может напрямую подключиться к БД и сделать select всей таблицы по всем пользователям. Выход из данной проблемы я вижу один: использовать схемы для каждого пользователя, но тогда встает например вопрос что делать если нужно произвести какую-то большую выборку по всем пользователями?

2) Использовать один вшитый в приложение стойкий пароль, а права пользователей реализовывать в логике GUI. Но помимо того что данный способ я сам считаю очень нехорошим, то еще возникает проблема с обслуживанием данной БД , например невозможность просмотра какой пользователь сделал блокировку в БД.

3) Возможно где я ошибаюсь изначально. :)

P.S: Пример полностью выдуманный, а сам проект как таковой не делается внутри конкретной компании, по-этому ответы типа "решение о рисках ухода той или иной информации должны принимать руководители" не предлагать.

А вот здесь можно по подробнее. Решение на базе MS Sql 2008.