forse non mi sono spiegato. se le operazioni di creazione/scrittura/lettura/cancellazione le fa una pagina asp, per proteggere la cartella è sufficiente che tu dia l'accesso alle risorse all'utente che fa girare le pagine asp, e cioè IUSR_nomemacchina.

ovvio che se l'utente X ha accesso alla pagina ASP e ha i permessi applicativi potrà fare tutto quello che la pagina gli permette di fare