Вобщем, интересует каким способом в приложении (не в субд) можно организовать управление ресурсами (фактически функциональность) которая зависит от конкретного пользователя.

Может немного непонятно написал, вот что сейчас есть:

Есть приложение, которым пользуются n человек, в основном секретари. Приложение работает с БД (доки и т.д). Сейчас любой может запустить прогу и сделать все что захочет. Это понятно что неправильно, т.к система не моя и сейчас приходится дописывать. Задача сводится к внедрению системы авторизации пользователей на основе WIN, т.е если человек залогинен под учеткой DOMAIN\Username, то проверить (опять же где хранить разграничения) имеет ли доступ на чтение/изменение/удаление/.

Как можно проще всего это реализовать? Что рекомендуете почитать?

Сейчас такого понятия в приложении вообще нет. Один юзер бд и все. Он и админ, т.к может делать что угодно, поэтому куча косяков, чтото постоянно не работает.
Приложение (только приложение, не база) будет работать на win.

У меня видение вещей такое:
1. В БД будет 4 типа пользователей :админ,юзер,гость,системный . Системная учетка только для ведения журналов изменений, контроль доступа и т.д все что не относится к манипуляции данными.
2. Таблица разграничений прав тоже в БД, доступ к которой имеет только админ. Задается правами к таблице.
3. Пользователь запускает программу, проверяется текущая учетная запись (под которой он залогинен), далее проверяется уровень доступа пользователя. Если пользователь присутствует в таблице разграничения прав, то система начинает работать из под пользователя "юзер". в противном случае - "гость" (только чтение данных). Про админа говорить думаю не надо.
4. Например сервис баз данных переносится на другую платформу (UNIX) и тут же работоспособность системы идентификации на основе windows обламывается. ограничиваем ос от бд.(имхо пока не определил четко).

Пока все на стадии обдумывания, т.к опыта создания подобных систем пока очень мало. Хочется сделать все на должном уровне.
Вообще, думаю что жесткая привязка ОС и БД не нужна, т.к она важна только для клиента. В моем случае клиент будет только для windows. Иначе, я бы продумывал совершенно иную схему реализации.

Да, примерно так я и представлял себе. Спасибо за ссылку в МСДН, посмотрю.

Вообще, с точки зрения организации мой вариант правилен? Насчет разграничения ос, бд, авторизации.
Какие еще можно применить варианты?

Возможно, что в последующих проектах получится внедрять другие типы систем авторизации, надо попробовать все, начиная с простых схем. Пока мне трудновато будет реализовать системы на основе иерархической структуры, как вы сказали.

Есть возможность привести пример (со ссылкой, если есть сорс) ? Посмотреть как все реализовавыется.

Очень просто описано (конкретно на C#):
тынц

вобщем, я сделал доступ по WIN-авторизации. т.е с помощью LDAP в указанном домене выбираются пользователи, им выставляются определенные привелегии и дальше коннект к БД идет только от соответствующих привелегиям БД-логинов.
Вроде как проще некуда. Каждый раз редактировать права и пользователей в самой БД не особо удобно.