Ok, entonces necesitamos entender el alcance de las variables de aplicacion y sesion y de ahi obtendras tus propias conclusiones:

1. Variables de Aplicacion:

Se inicializan en el global.asa y adquieren su valor la primera vez que corre tu aplicacion, y por supuesto si reinicias el IIS, es decir, el primer usuario que corra tu aplicacion iniciara estas variables y su alcance es a nivel de aplicacion, o sea para todos tus archivos dentro de tu proyecto.


2. Variables de session:

Se inicializan en cualquier lugar de tu aplicacion y como su nombre lo dice, tiene un alcance de sesion, es decir, que cada usuario puede tener una o mas variables de sesion, este tipo de variables son como cookies volatiles, que desapareceran cuando el usuario abandone su sesion, es decir que cada usuario tendra su(s) variable(s) de sesion.


Ahora, por el contenido de tu pregunta a mi me parece que lo que quieres manejar es un nivel de permisos para la edicion de registros en tu DB, si es asi, al manejar variables de sesion como autentificadores de los usuarios, habras automaticamente resuelto el problema.


Salu2,