multumesc ptr raspunsul prompt.

sunt mai multi useri windows care se logheaza cu aplicatia si i-am grupat intr-un windows grup pe care l-am definit ca login si user in sql. dar asta nu cred ca are vreo importanta. ideea de mai sus ramane valabila.

problema pe care o vad eu e alta:
ce se intampla daca unul din userii din grup scrie o aplicatie .net in care seteaza numele serverului, bd si integrated security=true (pe care le ia din fereastra de login ale aplicatiei mele).
numele de aplicatie pe care am reusit sa-l "extrag" din sql server este ceva de genul: ".net sql provider". deci, merge cu orice aplicatie .net. exista alte campuri speciale care ofera mai multe amanunte despre aplicatia client?

2. de ce nu merge ideea mea: userul (grupul windows) sa nu aiba nici un drept, sa creez un database role cu obiectele si drepturile necesare si, in loggon trigger, in cazul in care se indeplinesc conditiile (iarasi ramane pb. numelui vag al aplicatiei) sa adaug userul (grupul de user) la database rolul respectiv (da o eroare care blocheaza orice login ulterior, inclusiv dba). eroarea am identificat-o la linia de adaugare user la role. in contextul logon trigger nu pot executa proceduri system sau nu pot lucra cu useri si grupuri?

multumesc inca o data