Hallo,

Ja, das passt (aber bist du dir sicher, dass du die .htpasswd direkt im Server-Root (Verzeichnis) ablegen willst?)
Das hab ich doch nirgens geschrieben *verwirrt*
"./.htpasswd" heißt doch nur, dass die Datei im selben Ordner liegt wie die .htaccess,

Wie Andreas sagte: bei der Direktvie AuthUserFile gilt die Prafangabe wenn sie nicht absolut (also mit einem » / « beginnt) als relativ zum Server-Root, d.h. ein ./  bedeutet eben, dass die Datei im Server-Root liegt.
Du kannst die Datei dort abelgen, das ist nicht die Frage.

ich werde BEIDE Dateien in einen admin-ordner legen...

Davon ist wirklich abzuraten.
Die .htaccess Datei muss du natürlich in dem Verzeichnis ablegen, das du schützen willst.

Beispiel:

home/username/
                public_html/
                log/
                ftp/

public_html ist dein document-root, also das oberste Verzeichnis, was ein Internetsurfer zu Gesicht bekommt.

poblic_html/
            index.html
            cgi-bin/
            css/
            images/
            admin/

im Verzeichnis admin hast du all die Dateien, die nur bestimmte Besucher sehen dürfen, also legst du dort dein .htaccess-Datei an.
Aus Sicherheitsgründen ist es besser, wenn die dazugehörige .htpasswd nicht im selben Verzeichnis liegt, ja sogar nicht mal irgendwo unter document-root.
Deshalb erstellt du im server-root ein neues Verzeichnis, auf das aus dem Internet gar kein Zugriff möglich ist:

home/username/
                public_html/
                log/
                ftp/
                secret/

jetzt kannst du im Verzeichnis secret dein .htpasswd-Datei ablegen und den Pfad dazu in der.htaccess mit:
AuthUserFile /home/username/secret/.htaccess
angeben. (username ist hier nur als Beispiel, aber oft lautet der Name dieses Verzeichnisses so, wie der Username, mit man sich als Admin per FTP/SSH auf dem Server einloggt, quasi der Name der Useraccount am Server)

Grüße
Thomas