o lo fai via .htaccess o lo fai via php
via php ti basta fare un controllo gruppo/utente e nel caso che non corrisponda fare un redirect con header o fare il throw di un exception.

la cosa migliore, se si tratta di file, è proibire l'accesso diretto via .htaccess e usare un file php esterno per prelevare i dati dal suo interno