Ciao,
puoi mettere un web.config per ogni cartella, ma non è obbligatorio. Se non lo metti la cartella eredita le impostazioni della cartella principale.
Se ad esempio hai una struttura come la seguente:
- root: nessuna autenticazione
------ Admin: accesso solo al ruolo amministratore
------ User: accesso solo al ruolo utente
per limitare l'accesso alle cartelle admin e user puoi inserire un web.config all'interno delle stesse che specifica le autorizzazioni necessarie per accedere alle pagine.
Ti riporto un esempio in cui l'accesso è consentito solo al ruolo amministratore
<configuration>
<system.web>
<authorization>
<allow roles="Amministratore"/>
<deny users="*"/>
</authorization>
</system.web>
</configuration>
PS: in alternativa puoi settare tutti i parametri di accesso all'interno del web.config che hai nella root. Per farlo devi sfruttare l'elemento localtion: http://msdn2.microsoft.com/it-it/library/b6x6shw7.aspx
-----------------------------------------
Rossi Marco
http://blogs.dotnethell.it/rossimarko