Eu tenho um site no IIS com a navegação no diretório habilitada (isso também é um site ftp). Eu mudei recentemente para autenticação de formulários em vez de autenticação básica. A pasta raiz é acessível a todos. Então, cada pasta é acessível a um grupo diferente.
Eu posso acessar a pasta raiz e, quando tento acessar uma subpasta, sou redirecionada para a página de login.
Após o login, eu tenho acesso à subpasta.
Mas também tenho acesso a todas as outras subpastas, mesmo que não esteja no grupo. (Não é bom)
Então, basicamente, se eu estou logado, eu tenho acesso em todos os lugares e a ACL não tem impacto sobre o que eu posso acessar. ACL ainda funciona bem para FTP. Esse problema ocorre quando eu mudei de autenticação básica para autenticação de formulários