Y xq no le asignas a cada usuario una variable de session y en la pagina si no tiene esa variable de session cargada pues le mandas fuera de la aplicacion????
Deberias controlar en cada pagina a los usuarios que quieres que puedan entrar segun el valor de la variable de session

seria un metodo, luego esta el bueno que es con validacion form en el web config pero ese es con cookies.