A ver tienen que dejar el web config del proyecto, es decir, el primero tal como venia por defecto.
<authentication mode="Windows" />

<authorization>
<allow users="*" /> </authorization>

Ahi estan dejando pasar a cualquiera que se conecte.

Luego en el web config del directorio que quieren restringir usan:

<authentication mode="Forms">
<forms name=".nombreCookiequeyoquiera" loginUrl="login.aspx"
protection="All" path="/" timeout="60" />
</authentication>

<authorization>
<deny users ="?" />
<allow users = "*" />
</authorization>

Prueba de nuevo y avisas