Die Benutzerverwaltung in ASP.NET kann mit Forms Authentifizierung sehr leicht erledigt werden. Mit dem Authorization Element in der Web.Config kann pro Benutzer, Gruppe oder Kommando ein Recht vergeben werden. Dies allerdings nur im Root Verzeichnis der Web Anwendung. Wenn man nun ein Verzeichnis nur der Gruppe Administrator freigeben möchte, kann man dazu auch die Web Config verwenden. Dazu muss ausserhalb des Bereiches System.Web ein abweichende Konfiguration in einem Location Element definiert werden
<location path="Admin">
<system.web>
<authorization>
<allow roles="Administrator" />
<deny users="?"/>
</authorization>
</system.web>
</location>
-->
</configuration>
Es kann auch mehrere Location Elemente geben um Dateien oder Verzeichnisse zu schützen. Zugriffs Sicherheit kann generell mit dem Membership Provider auch Datenbank unabhängig gestaltet werden.