Con ASP.NET è possibile cambiare le caratteristiche della propria applicazione semplicemente agendo su un file, in formato XML, che permette finalmente di eseguire tutta una serie di operazioni senza bisogno di accedere ad IIS.
Tra queste c'è la possibilità di impostare delle restrizioni, tramite autenticazione di Windows, per l'accesso alle risorse.

Ecco dunque un esempio di web.config che consentirà l'accesso solo agli utenti test1 e test2:

<configuration>
  <system.web>
    <authentication mode="Windows" />
    <identity impersonate="true" />
    <authorization>
      <allow roles="BUILTIN\guests"
        users="*\Test1,*\Test2" />
      <deny user="*" />
   </authorization>
  </system.web>
</configuration>

Ovviamente queste impostazioni saranno valide solo per gli script .aspx e non per eventuali altre risorse presenti nella directory, per cui è comunque necessario utilizzare IIS (a meno di non modificare l'http handler utilizzato di default).
Infine, ogni directory può avere un proprio web.config a prescindere dalla sua natura, dunque è possibile che nella nostra applicazione ce ne siano di diversi per ogni singola directory.