yo lo que hago, a la hora de autentificar al usuario despues del form, recojo los datos y si son los mios, ya sea comprobados directamente en el codigo asp o bajados de una base de datos y si son correctos meto en sessiones algo asi:

session("user")=usuario
session("tipo")="webmaster"

y en el encabezado de las que solo puedo entrar yo pongo algo asi:
if session("tipo")<>"webmaster" then
response.redirect "login.asp?error=nivel"
end if
.............y el codigo de la pagina