Вы упомянули, что пользователь вышел из системы, поэтому я просто предполагаю, что вы используете поставщика членства (или какую-либо другую парадигму аутентификации). Если это так, поставщик членства специально имеет метод GetNumberOfUsersOnline (). Вы можете проверить этот метод перед отображением формы входа в систему, и если число, которое вы хотите, было превышено, не позволяйте новым пользователям войти в систему. Конечно, этот метод более или менее точен за пределами 15-минутного окна, поэтому если вам нужно что-то очень точное, вам придется выполнить некоторые настройки, чтобы свести к минимуму указанное окно.
В качестве альтернативы, вы могли бы действительно использовать файл global.asax вместе с переменной приложения, хотя сложная часть, очевидно, заключается в том, чтобы рассматривать пользователя, вышедшего из системы, если он явно не делает этого.