Creo que la solución pasaría por almacenar en la base de datos el ID de la sesión generado, así cuando realizas alguna acción que te pida autenticación, tan solo deberías verificar que ID lo está intentando hacer... De esa manera solo podría realizar acciones el primero que se loguea!

Por otro lado, prueba a utilizar variables de sesión globales, como lo que has dicho de saber cuanta gente está conectada, de esa manera podrás controlar quien se ha logueado previamente.

La acción Session ON_End no funciona del todo bien en ASP clásico, pero sí en ASP.Net

Salu2!