А если все цепляются к базе под "sa" (упокой его душу...) ?

PS Вариант: когда все ломятся на веб-морду, а вебморда смотрит на базу под локальным админом и только передаёт в него имяЮзера обратившегося к ней (к вебморде тоесть)

невзлетит. Да и не нужно. Пишите по отдельной функции для каждой таблицы (если очень неймётся делать функции). Можете даже обойтись представлениями (view) - просто селектить данные из него, если сможете авторизовываться на SQL-сервере под нужным логином (правда, тогда Вам больше подойдёт решение от invm ,- см. выше) . Либо пишите по отдельной процедуре (процедуру можно и одну на всех, но лучше так не надо). Процедуры нормально отдают результат в приложения (например на C# работает нормально,- сам использую самописное подобие вебморды, которое забирает данные из скуля).

PS Есличо,- могу где-то ошибаться. Путь знающие товарищи поправят ;)

Полагал что "фильтрованная выдача" нужна для конечного приложения, которым пользуются конечные клиенты.
Часто бывает, что конечные клиенты логинятся в сервер все под одним логином (sa, например) наплевав на роли и безопасность.
Или бывает, что запросы идут на вебморду, а вебморда сама обращается в базу через одного пользователя.

В статье все примеры начинаются с "трёх пользователе". Я так понял.
PS С сокрытием колонок та же ситуация.

"Безопасность на уровне строк позволяет использовать членство в группе или контекст выполнения для управления доступом к строкам в таблице базы данных."

и

В. Сценарий для пользователей, подключающихся к базе данных через приложение среднего уровня
.... Приложение задает идентификатор пользователя текущего приложения в SESSION_CONTEXT (Transact-SQL) после подключения к базе данных, а затем политики безопасности прозрачно фильтруют строки, которые не должны быть видимыми для данного идентификатора, а также запрещают пользователю вставлять строки для другого ИД пользователя.

Остальное - в общем-то подобное. Мне кажется.
Но спасибо за зерно сомнения!,- может быть как-нибудь перечитаю внимательнее...