Se l'accesso è via HTTP hai due criteri di sicurezza: il primo di IIS (gestito dalle proprietà di Sicurezza di IIS) ed il secondo a livello di FileSystem (la scheda Protezione quando clicchi su una qualsiasi cartella, ad es., presente sul server).
Ovviamente il secondo è quello + sicuro.

Questo tipo di permessi cmq va gestito lato-server. Se hai solo un accesso ftp, mi spiace ma non puoi fare nulla di ciò.