Логин может получить доступ к базе, в которой он не отмаплен, через пользователя guest и уже потом через роль public.

BOL - Administering SQL Server - Managing Security - Creating Security Accounts - guest User

"The guest user account allows a login without a user account to access a database. A login assumes the identity of the guest user when both of the following conditions are met:

-The login has access to an instance of Microsoft® SQL Server™ but does not have access to the database through his or her own user account.

-The database contains a guest user account.
Permissions can be applied to the guest user as if it were any other user account. The guest user can be deleted and added to all databases except master and tempdb, where it must always exist. By default, a guest user account does not exist in newly created databases."

IMHO для Tempdb вообще бессмыслено что-либо удалять, т.к. все это будет "жить" до следуещего перезапуска.

В master можно конечно отобрать все права у guest и public, но IMHO никакими супер-правами они не обладают(по умолчанию).

В пользовательской базе - на усмотрение администратора и разработчиков.

PS
Кажется в какой-то старой версии MDAC были проблемы с отображением объектов в соответствии с правами. У вас какая версия SQL и MDAC ?

Уточню на всякий случай
Public - это роль, в которую автоматически включается любой пользователей базы. Т.е. нет пользователя - нет попадания в public - нет прав, заданных для public. Роль сама по себе не влияет на авторизацию пользователя, а только на права доступа к объектам уже после авторизации.
Т.о. если логин не отображен в пользователя базы и в базе нет пользователя guest, то такой логин не получит никаких прав в базе, независимо от того, какими правами обладает группа public.

неприятно лишь что public может слишком многое посмотреть.
Например

Выяснилось, что этот пользователь входил в группу Administrators компьютера, где установлен SQL
Да, есть такая особенность. После инсталяции группа локальных администраторов включается в роль system administrators SQL сервера(наверное для надежности). Соответсвенно и все члены этой группы получают максимальные права на SQL сервере.

но не был перечислен среди пользователей, потому и не бросался в глаза
Права пользователя кумулятивны, т.е. складываются и из прав всех групп, в которые он входит.



Можно удалить эту локальную группу из роли, хотя с другой стороны, IMHO "посторонние" пользователи не должны входить в локальные админы, т.к. это позволит им, не имея доступа к базам, остановить SQL сервер как сервис, скопировать файлы, присоединить их на другом SQL-е и запустить сервис заново. А вы ничего не не узнаете.

Так что вопросы безопасности это не только "дело" SQL-я