Gabriel, en tu caso eso funcionaba bien; pero en este caso el problema es que pueden existir usuarios dados de alta como administradores del servidor, y aún así es necesario impedir el acceso a la DB.

Los roles no funcionan porque estos no requieren de permisos definidos explícitamente para poder utilizar los objetos.

Espero que esto halla aclarado tus dudas.