Io nel webconfig uso questa scrittura

<location path="miacartella">
<system.web>
<authorization>
<allow roles="cliente" />
<deny users="*" />
<deny users="?" />
</authorization>
</system.web>
</location>

(la cartella è consentita solo agli utenti che hanno ruolo "clienti" mentre è inibita a tutti gli altri)

però questo prevede che tu faccia l'autenticazione usando FormsAuthentication.
Se un utente non autorizzato prova ad accedere alla cartella digitando l'url viene rispedito alla form di login.