Exactamente, yo defino en la BD el tipo de usuario que es, y a partir de hay en cada página controlo que tipo de usuario se está intentado conectar a través de variables de session, ya que yo no defino el acceso por carpetas, es decir en una misma carpeta puede haber páginas para Administradores y páginas para otro tipo, etc.

Es un poco más costoso, pero es que no me fio mucho del web.config.

Lo de los roles creo que no va por cookies, si no por tipo de usuarios, es decir, tu en tu SO crearías los grupo de usuarios o roles, y ahí meterías a los mismos, y luego en el web.config, le dirías que tipo de usuarios tienen acceso a cada carpeta. Pero no estoy muy seguro, es por lo que leí antes de decidir desechar esa opción.