Есть некая CRM система, в основе СУБД MS SQL server. Хочу создать учетку, которая будет иметь доступ только одной базе на чтение (баз несколько). При создании нового имени для входа новой учетке автоматически присваевается роль public. Как я понимаю, у роли public на данном сервере открыт доступ ко всем базам на чтение и апдейт (как минимум). При создании новой учетки я могу расшарить её права до админа, поставив дополнительно галочку sysadmin (в пункте "Server Roles"), а вот снять галочку public нельзя. Даже если я в пункте "сопоставление пользователей" (user mapping) поставлю галочку на нужную мне базу и дам пользователю роль db_datareader, то у него все равно унаследуются права на апдейт от роли public.
Извиняюсь за сумбур, постарался донести своё понимание.
Соответственно вопросы:
1. Где я могу изменить права роли паблик? (для общего развития)
2. Как я могу запретить доступ к базам, не меняя роль паблик
Спасибо.

Спасибо за пояснения. Но всё ещё не складывается картина. Попробую объяснить. У меня на сервере 3 БД. Две были созданы до меня, одну я создал сам. Создаю имя для входа на сервере, допустим TestUser с аутентификацией по проверке подлинности SQL Server. Больше ничего не меняю, роль сервера по дефолту public. По итогу я не могу войти в свою созданную базу. Но если я создам в своей базе пользователя с именем TestUser и дам ему роль db_datareader он сможет зайти в мою базу и читать данные (но не изменять их).
Этот механизм мне понятен.
Но есть ещё две созданные до меня базы. Причем к одной из них он имеет доступ на чтение и апдейт, а ко второй вообще не имеет досупа. В обоих базах нет созданного пользователя TestUser. Как это работает и где задается?

Спасибо!
А какой тогда правильный способ изменить права доступа к базе, где активен гость? Если я создаю в этой базе пользователя и даю ему права db_datareader, то он все равно может изменять данные (так как похоже, что такие права есть у гостя).

А если эта опция недоступна? Права настроены с определенными целями для текущих проектов, а мне нужно лишь создать учетку с определенными правами, не меняю прав гостя или паблик.

Спасибо за совет!
Но для меня странно, что права гостя перевешивают права, явно заданные в учетке пользователя.

Ну допустим у меня гость дает доступ на чтение и редактирование таблиц БД. А на выходе мне нужно получить только чтение.

Ну пользователь на уровне сервера (имя входа) имел доступ к базе (как мы выяснили через гостя). Он там мог и селектить, и апдейтить. После чего я на уровне базы создал этого пользователя и дал ему права db_reader. Мне казалось, что эти права апдейтить не должны позволять. Но он все равно имеет право на апдейт.