Precisamente tengo un quebradero de cabeza con el apache y buscando.. buscando...
Por lo poco que se se podría solucionar así:

pones un .htacess en el directorio sin proteger tal que así:
order allow,deny
allow from all
deny from none.

y si esto no te resulta pones en el .htaccess del directorio padre (primera linea):
allowoverride all

y si resulta pues.. vaya chorra, pero por probar no se pierde nada.