Si, tienes que validar primeramente que el script admin_cap.php esta siendo ejecutado por el alguien (admin/usuario) que esta logeado en el sistema, para eso usas sesiones, desde el o los script que redireccionan a admin_cap.php estableces una variable de sesion y luego en el propio script admin_cap.php comprobas que la variable este establecida (isset). Como siempre no existe sistema 100% seguro y este metodo puede ser atacado. Si queres implementar algo mas seguro busca info sobre session hijacking, este [URL="http://phpsec.org/projects/guide/4.html"]post[/URL] es bueno.