Parece que Joe é membro de um grupo de domínio que tem mais direitos no SQL Server do que você deseja, ou você está mexendo com os direitos das funções públicas nos outros bancos de dados no servidor. Em ambos os casos, você precisará descobrir de onde os direitos extras estão vindo para corrigi-los.
Você pode usar o procedimento armazenado xp_logininfo para ver com que grupos de domínio Joe é possível acessar o banco de dados.
exec xp_logininfo 'YourDomain\JoesUserName'
Se isso não apontar você na direção certa, será necessário investigar os direitos concedidos à função pública nos outros bancos de dados.