Technicky ano. Ať už je to správné nebo špatné... bez komentáře.
Zabezpečení databáze je každopádně rozděleno do 2 funkcí:
- db_accessadmin ke správě uživatelů (nebo oprávnění „ALTER ANY USER“, jak jste zmínili)
- db_securityadmin umožňuje spravovat členství rolí a oprávnění k objektům (nebo „ZMĚNIT LIBOVOLNÉ oprávnění ROLE)
Toto je zmíněno u sp_addrolemember .
Spuštěním sp_addrolemember ve skutečnosti měníte roli, nikoli uživatele, takže stačí "ALTER ANY ROLE" bez úplných práv db_owner.