Аутентификация ASP.NET предназначена для обеспечения устойчивости к IISReset благодаря использованию cookie-файлов - выполнение IISReset удаляет любую информацию в памяти, но в следующий раз, когда пользователь запрашивает страницу на вашем сайте, они отправят их токен аутентификации, который (если не истек тайм-аут) все еще будет действителен, и сервер будет повторно аутентифицировать их.
Вы могли бы написать что-то, что могло бы эффективно отключить пользователя после перезапуска, например, сохранив время запуска приложения в глобальной переменной в Application_Start, а затем сравнив пользователей LastActivityDate с этим значением - если до времени начала, тогда вы можете вызвать соответствующий метод выхода во время Application_SessionStart или Application_BeginRequest.