Hola.
Creo, salvo que otro forista opine lo contrario, que eso no es posible. Es decir, mi entendimiento es que si un usuario tiene conexión hacia una BD, dicha conexión se permite desde la aplicación que lo requiere o incluso desde el SSMS.
Lo que se puede hacer es que si se conecta por SSMS a la BD que se le asignó por defecto, no pueda realizar alguna operación T-SQL como SELECT, por ejemplo. Esto se logra mediante el uso de
Application Roles.
Alguna vez intenté usar el comando DENY VIEW ANY DATABASE para dicho login en particular, en donde, el login se conectaba mediante SSMS, pero no veía ninguna base de datos. Sin embargo, si abrían una ventana de consulta mediante "New Query" y escribían
"USE <Base de Datos>" pues podían usar la base de datos.
Particularmente, con el escenario anterior, aprendí a conceder o negar los permisos particulares sobre una base de datos con roles de aplicación y que dicho usuario o usuarios tuviesen la seguridad necesaria para que sobre dicha base de datos realicen lo
requerido e incluso, habilitar temas como AUDIT y trazas en la misma BD para que quede registro de quien hizo qué y cuándo, acceda dicho usuario por la aplicación o por SSMS o SQLCMD, incluso.
Se que no es la respuesta buscada, pero de nuevo, salvo que alguien más tenga otra opinión, no solo no se puede sino que el esfuerzo debe estar orientado hacia proteger lo que el usuario hace en su base de datos.
Saludos,
Guillermo Taylor F.
MVP Data Platform & IT Pro
Mi Blog
