Как запретить доступ к файлу с веб-конфигурацией ASP.NET, но не только локально?

У меня проблема с файлом веб-конфигурации ASP.NET. Я хочу запретить некоторым пользователям или ролям доступ к определенному файлу PDF. Я использую систему членства и управления ролями ASP.NET. Итак, я добавил эти строки кода в файл Web.config:

и поместил его в каталог, в который включен файл. Теперь, когда я запускаю проект в локальной системе, я не могу получить доступ к файлу PDF, пока я вхожу в систему с ролью «admin». Но когда я публикую проект на веб-сервере, я не могу просматривать папку, но могу просматривать файл PDF, когда просматриваю полный путь к файлу PDF. Итак:

Я не могу получить доступ: http://www.example.com/folder

, но могу просмотреть: http://www.example.com/folder/myfile.pdf