al momento de verificar si es un usuario válido, te fijás en su campo "nivel" si es un usuario normal (digamos, nivel 2) o uno administrador (digamos, nivel 1) y guardás esa info en la variable de session que verifica que sea un usuario válido. entonces, si session("autorizacion") vale 1, tiene acceso a todo y si vale 2 sólo tiene acceso al contenido permitido para el usuario "normal"... si no tiene valor, no es un usuario autorizado en la aplicación.

luego para hacer un OR sería algo así:

if session("autorizacion") <> 1 OR lo_que_sea then...