Also ich persönlich mache es ganz anders:

Ich identifiziere den User beim Starten der Applikation anhand seines Windows-Login-Namens und gebe ihm dann innerhalb meiner Applikation die entsprechenden Rechte (aktiviere/deaktiviere Buttons oder TabSheets etc.). Nur die Applikation meldet sich im Hintergrund an der DB an, mit immer dem gleichen DB-User den der Applikations-Anwender ja gar nicht wissen muss.

Würde ich einfach nur die DB-Rechte einschränken, dann würden ja z.B. irgendwelche Editier-/Speicher-Funktionen aktiv sein und dann auf einen (kryptischen MySQL-)Fehler laufen, weil der User keine DB-Schreibrechte hat.

In meiner DB sind zudem die Windows-Login-Namen mit entsprechenden Berechtigungs-Flags für die eigentliche Applikation hinterlegt, sodass ich nicht nur simple Schreib-/Lese-Berechtigungen vergeben kann sondern natürlich noch viel feiner gewissen Funktionen einem User zuweisen kann!

VG