Well, diciamo che dopo aver visto cosa fa Authorization ti do ragione e cercherò di erudirmi sul tema.

Ora però la tua prima risposta rispondeva a gran poco: il problema di victor (e anche mio a questo punto) è di impedire che IIS mi serva dei files che non deve servirmi perchè li ho archiviati in directories DEL SITO che devono essere accessibili con determinate logiche.
La prima logica è che se un utente non è loggato non deve poter accedere ai files.
La seconda logica è che in base allo user vorrei rendergli accessibile solo i files di una specifica subdir e non quelli di altre.
Avrei una terza logica relativa ai roles che è un livello più alto (o basso come preferisci) degli user ma per ora mi accontento delle prime due.

Stante che login, user e authorization li gestisco dal codebehind delle mie pagine mi aspetterei di poter gestire questi permessi con le relative logiche da codice aspNet e/o web.config...

Il link che avevo postato prometteva questo ma al momento non sono ancora riuscito a farlo andare...

Se hai indicazioni sono benvenute
(Win Server 2019, IIS10)