Bueno, yo solo quería apuntar que no es necesario (ni recomendable) marcar la carpeta a proteger como aplicacion en IIS, basta con poner en ella un web.config unicamente con:<configuration>
<system.web>
<authorization>
<allow roles="unRol"/>
<deny users="*"/>
</authorization>
</system.web>
</configuration>

Salu2