Si te dice acceso denegado es porque no lo estás haciendo correctamente, es imposible si entras siempre por index.php

La unica manera de saberlo es quitando el iframe para ver en que URL estas navegando realmente pero estoy practicamente seguro de que no lo estas haciendo a través de index.php sino que estás navegando en usuarios.php directamente.

Prueba a quitar el if (!defined('AUTHORIZE_ACCESS')) exit('Acceso directo no permitido'); de la página usuarios.php y pon esta linea para que muestre que url estas utilizando



Tal vez al ser una llamada AJAX el define no tiene efecto puesto que no estas cargando de forma directa la pagina usuarios.php y por tanto el define no sirve. Prueba a:

- Las paginas que cargues a través de AJAX no les pongas la comprobación y simplemente metelas en una carpeta ajax dentro del directorio protegido con el HTACCESS.
- Puesto que ya estan protegidas por el HTACCESS ya no es necesario protegerlas mediante codigo PHP.