Eu tenho um site no IIS com navegação em diretório ativada (este também é um site FTP). Recentemente mudei para autenticação de formulários em vez de autenticação básica. A pasta raiz é acessível a todos. Então cada pasta fica acessível a um grupo diferente.
Posso acessar a pasta raiz e, quando tento acessar uma subpasta, sou redirecionado para a página de login.
Após o login tenho acesso à subpasta.
Mas também tenho acesso a todas as outras subpastas, mesmo que não esteja no grupo. (Não é bom)
Então, basicamente, se estou logado, tenho acesso em todos os lugares e a ACL não tem impacto no que posso acessar. ACL ainda funciona bem para FTP. Este problema ocorre quando mudei da autenticação básica para a autenticação de formulários