grant role sso_role to userA
go

/* Сначала создаем новую роль, гениально */
create role indirect_sa_role 
with passwd [PASSWORD]
go

/* добавляем ее к sa_role  идея White Owl, но она была не завершенной */
grant role sa_role to indirect_sa_role
go

/* Устанавливаем для admin_user возможность пользоатоваться этой ролью, можно хоть всем пользователям такой грант сделать, пользоваться им все равно без пароля нельзя :) */
grant role indirect_sa_role to admin_user
go

/* Создаем процедурку для заведения  нового пользоватлея */
CREATE PROCEDURE dbo.of_sp_addlogin; 1 
(
   @loginame                   varchar( 30 ) = NULL,        /* login name of the new user        */
   @passwd                     varchar( 31 ) = NULL,        /* password of the new user          */
   @defdb                      varchar( 30 ) = "master",    /* default db for the new user       */
   @deflanguage                varchar( 30 ) = "us_english",/* default language for the new user */
   @fullname                   varchar( 30 ) = NULL,        /* account owners full name         */
   @user_group                 varchar( 30 ) = "public"     /* group to put new user in          */
)
AS
BEGIN

   /* Включаем sa_role для всех пользователей кроме 'sa', а то процедура лишнюю ошибку выдает... :) */
   IF SUSER_NAME( ) <> 'sa'
   BEGIN
       /* Устанавливаем текущему пользователю sa_role */
       set role indirect_sa_role
       with passwd [PASSWORD] on
   END 
   
       /* Создаем нового пользователя */
       EXEC @ret = master..sp_addlogin @loginame,
                               @passwd,
                               @defdb,
                               @deflanguage,
                               @fullname,
                               null,
                                6 ,
                               null

       IF SUSER_ID(@loginame) >  0 
       BEGIN
           /* добавляем пользователя в грппу (по умолчанию public) */
           EXEC master..sp_adduser @loginame,
                                   @loginame,
                                   @user_group
       END

   IF SUSER_NAME( ) <> 'sa'
   BEGIN
       /* выключаем sa_role для пользователя */
       set role indirect_sa_role off
   END

END
go
GRANT EXECUTE ON dbo.of_sp_addlogin TO public
go


/* Скрываем процедуру, чтобы нельзя было узнать пароль */ 
sp_hidetext dbo.of_sp_addlogin
go