si eso se hace atravez de tu IIS pero eso si no controlas los usuarios desde la base de datos, si no tienes que crearlos en windows, tienen que ser usuarios del dominio. No creo que tengas problemas de seguridad usando como corresponden las sessiones. Ademas para restringir pagina a pagina no creo que te sirva la de windows....