Lieber wahsaga,

heißt, nach meinem verständnis, folgendes:

zuerst mal werden die (eventuellen) RewriteRules abgefrühstückt, die in der server-konfiguration hinterlegt sind.

anschließend wird im jeweiligen verzeichnisbaum (dessen erreichen jetzt schon durch "URL-to-filename"-umschreibungen passiert sein kann) nach anweisungen in .htaccess-dateien geschaut.
dort hinterlegte RewriteRules werden jetzt aber erst berücksichtigt, _nachdem_ eine evtl. für diesen verzeichniszweig erforderliche Authentifizierung durchgeführt wurde.

Jetzt sehe ich _definitiv_ klarer. Vielen Dank! Dieses englische Fachchinesisch fällt mir noch sehr schwer zu verstehen...

Die Ausgabe der script.php muss unbedingt Passwort-geschützt sein, daher habe ich sie in ein solches Verzeichnis abgelegt.

reicht es für dein vorhaben evtl. aus, _nur_ diese script-datei per HTTP Auth zu schützen? (und nicht das gesamte verzeichnis)

Das wäre durchaus eine Überlegung wert. Da ich in meinen Admin-Tools aber eine <Files>-Direktive (noch) nicht integriert habe, bleibe ich (vorerst) beim Passwortschutz per-Directory. Meine Lösung ist jetzt, dass ich einfach einweiteres Unterverzeichnis erstellt habe, in welchem ich den Passwortschutz aktiviert habe, so dass die Index-Datei ohne Passwort erreicht werden kann.

Die Situation sieht jetzt so aus:

root/a/index.php
root/a/b/c/index.html (ohne .htaccess, enthät Link auf "d/script.php")
root/a/b/c/d/script.php (mit .htaccess)

Vielen Dank für Deine wirklich erhellenden Ausführungen! Ich werde mich ab sofort etwas genauer mit der Files-Direktive beschäftigen. :-)

Liebe Grüße aus Ellwangen,

Felix Riesterer.