seguridad windows con asp

Hola, tengo un problema a ver si me lo podeis solucionar lo antes posible, ya que corre un poco de prisa.

El tema es que tengo una web donde los usuarios introducen su usuario y su contraseña y a través de una base de datos consulto y si es un usuario que esta dado de alta pues cambio el valor de una variable de sesion que indica el ID del usuario.

Hasta este punto todo bien, si quieren acceder a una pagina asp que no estan autorizados los redirecciono a otra y a correr.

El problema es cuando el archivo al que quieren acceder es un zip o un pdf, etc. Si saben la ruta del archivo les da igual que tengan usuario como que no se lo pueden bajar igual.

He buscado soluciones y todo que me sale es para ASP.NET, y esta version de la pagina esta en ASP sin más asi que no me sirven las soluciones y asi que aqui estoy preguntando, ya sabeis ;)

Lo que he podido hacer es lo siguiente: decirle al directorio donde tengo los archivos, que no sea publico y crearme un usuario que pueda acceder a ese directorio, cuando intento acceder a ese directorio me aparece una pantalla de autentificación de windows, y eso tampoco quiero.

Lo que quiero es que cuando un usuario ponga su usuario y su contraseña (de asp, lo que he comentado arriba) sea la que sea, se cambie la variable de servidor LOGON_USER al usuario que tiene acceso a ese directorio o algo pareccido para que windows sepa que el usuario que esta navegando tiene acceso a esos archivos.

Por que si no que otra solución existe.

Ta claro no?, Gracias anticipadas y un saludo a todos

Esta fácil, si te endendí bien. Solo coloca todos los archivos de descarga fuera del directorio virtual y con ello no podrán bajarlos desde la URL, y tu los bajas con una página ASP que contenga:
<script>
URL = location.protocol + "//" + location.host + "/mispruebas/<%=request("archivo")%>";
window.location = URL;
window.close();
</script>

Bueno, es algo que se me ocurrio así de rápido, pero seguramente funciona.

Saludos

Puedes hacer otra cosa aunque algo más compleja que lo que propone myakire y es lo siguiente.
Crea una carpeta fuera del directorio virtual donde estarán todos tus ficheros de descarga, cuando el usuario quiera descargar un fichero compruebas sus permisos y si esta autorizado lo que haces es copiar el fichero a descargar desde su lugar de origen a una carpeta temporal dentro de tu directorio virtual y la descarga la haces desde este fichero temporal. Tienes la posibilidad de general un nombre aleatorio al fichero de descarga con lo cual va a ser más dificil que otro usuario, sin permisos, pueda descargase el fichero, incluso crearte una pequeña rutina que cada cierto tiempo elimine todos los ficheros que hay en la carpeta temporal.
No se si te he añudado o te he liado más, si quiere mas información no tienes nada más que pedirla.
Un saludo

He entendido la idea.
Gracias, lo intentare hacer.