basta eliminare : <allow users = "androita" /> e lasciare soltanto <deny users="?" />se creo una parte dell'applicazione dove potranno accedere solo chi si è registrato al sito (usrer + admin) nel file web.conf cosa dovrò impostare al posto di <allow users ="androita" /> ?
per NON permettere a chi non è loggato di entrare in quel percorso. (ma comunque è GIA' protetta dallo stesso settaggio fatto al livello di tutta l'applicazione, l'esempio che avevo fatto io era per farti capire che puoi permettere ad UN utente specifico di entrare, tranne gli altri).
-----
Per l'altra domanda,
credo che basti:Ovviamente questi file sono dati sensibili e devono essere ben protetti in modo tale che solo l'utente che li ha caricati ed l'utente admin possano entrare.
1) generare i file che riguardano l'utente con un nome complesso (tipo "nomecartella"+"password utente"+"numero random".pdf).
2) elencare tramite le istruzioni che vanno sul file system, i files contenuti nella cartella generata per l'utente ("dsfsd9f0") e permettere quindi il download/visione soltanto a sè stesso.
3) bloccare l'esplorazione directory da IIS in modo da non permettere agli utenti di scrivere nell'URL alcun percorso e di visionarne il contenuto.
-----
Una cosa sicura è che devi creare una cartella superiore a tutte le altre generate dinamicamente, con la restrizione soltanto a quelli registrati (e magari un ruolo concesso), tutto cio' sempre tramite <location path> e <allow> e <deny>.
Una soluzione che ho adottato io e' di scrivere i files NEL DATABASE, in un campo Varbinary, e NON nel file system del server.