La tabla de seguridad security.fdb/isc4.gdb es general para todas las bases de datos del servidor, y no hay forma de diferenciar si un usuario pertenece y/o tiene acceso a una base de datos o a otra.
La solución de muchos, que ya fue comentada por Gydba, es no utilizar la base de datos de usuarios de interbase/firebird y hacer un sistema "independiente" de usuarios en cada base de datos. Esto se maneja a nivel de aplicación, y no a nivel de base de datos, a donde todos se conectan regularmente (y erroneamente) con el usuario sysdba.
En mi opinión personal, es uno de los puntos "debiles" de ib/fb, que debiera ser tomado en cuenta en futuros releases (aunque, en honor a la verdad, tampoco lo he puesto como un requerimiento de características (feature request) en sourceforge).
Hasta luego.