aqui el problema no esta CON QUE TRABAJAS (cookies, sessions) el tema es que lo estas haciendo mal...

La cookie no debe guardar el rango (nivel) del usuario, sino los datos para identificarse (user y pass), el resto debe ser todo del lado del servidor... cuando el usuario ingresa al sitio tu lees la cookie y seteas una variable con el nivel del usuario (esta variable no podrá leerla nadie, ya que esta del lado del servidor).

Con esto el usuario no podrá cambiarse de nivel, a no ser que descubra el nick y pass de un usuario administrados (pues eso ya es problema "humano" y no de programacion).