Добрый пятничный вечер

Меня уже не первый день гложет вопрос, обсуждения которого, как минимум, косвенно встречаются в поиске, но существует проблема в составлении целостной картины. За сим к Вам и обращаюсь
По сути.
Сетевые серверное и клиентское приложения.
Стоит задача обеспечить ограничение прав клиента, примерно так как работает коннект к СУБД, RemoteAdministrator, etc (using Windows Authentication)
Сервер в случае неудачной аутентификации с клиентом прекращает взаимодействие, в противном случае сопоставляет уже в своей бд пользователя и его права на действия.
1. Соорудить конфигурирование прав: LookupAccountName, NetUserGetGroups, NetQueryDisplayInformation...
2. Клиентская информация: OpenProcess, OpenProcessToken, GetTokenInformation.
3. Проверка на сервере: AccessCheck
________________________________________________________________________________________________________________
п.3 — что проверять? Права пользователя на файл приложения? Или попытаться залогиниться к домену?..
п.2 — оттуда ли действительно плясать?

насколько это в совокупности корректно:
— достоверность информации, возможность обмануть.
— как архитектурно реализовано это в вышеперечисленных или продуктах имеющих сходную функциональность в плане коннекта

Заранее благодарен за ответы

p.s.
Еще немного сумбура
NTLM, SSPI, LDAP, ... имеющие опыт, подскажите что из этого (и/ли чего-нибудь еще) применимо к задаче