Я не могу объяснить, что вы видите, на основе предоставленной информации. Я могу вам сказать, что учетная запись, под которой работает пул приложений, не имеет отношения к делу.
Классический ASP всегда олицетворяет пользователя как анонимную учетную запись пользователя, так и пользователя, связанного с подключением, на которое поступает запрос. В этом может быть ключ к вашей проблеме.
Аутентификация в ASP обрабатывается на уровне соединения, после того как соединение аутентифицировано, оно связывается с пользователем. Соединение может оставаться открытым для клиентов и других HTTP-устройств в нисходящем направлении. Все последующие запросы, поступающие на соединение, не нуждаются в повторной аутентификации, текущий пользователь, связанный с соединением, используется для предоставления пользовательского контекста, который поток, обрабатывающий запрос, олицетворяет.
Я видел посреднические устройства или прокси-серверы отладки (такие как fiddler), поддерживающие соединения и повторно использующие их для последующего запроса от множества клиентов. В этой ситуации возможно, чтобы клиент работал в одном пользовательском контексте, чтобы запрос обрабатывался веб-сервером в контексте другого пользователя. Противный!
Я видел подобные вещи на старых серверах Citrix Terminal. Соединения HTTP были разделены несколькими клиентами, работающими на терминальном сервере, что привело к пересечению контекста безопасности. Ой!
Другой вариант для этого - это когда доступ к ресурсу на сервере отклонен для текущего пользователя в интрасети. Браузер отображает диалоговое окно входа в сеть, и пользователь вводит пользователя с правами администратора. На время сеанса браузер теперь использует учетные данные администратора для доступа к другим ресурсам на том же сервере, даже если текущий вошедший в систему пользователь сделает это.