La restricción no se hace con el atributo roles del elemento siteMapNode en el web.sitemap, este atributo es tomado en cuenta solo para los nodos que no tienen una URL asociada
El atributo securityTrimmingEnabled con esto el XmlSiteMapProvider automáticamente oculta los paths no alcanzables para un usuario dado , tomando como referencia la configuración del web.config.
Definir en el Web.config los permisos:
<location path=“gestion/borrado.aspx”>
<system.web>
<authorization>
<allow roles=“administrador”/>
<deny users=“*”/>
</authorization>
</system.web>
</location>
Leer: https://ilopez.wordpress.com/2008/01/14/restriccion-de-accesos-en-aspnet-20/
