IIS 5 также устарел (Windows XP умрет в следующем году). Нет смысла обсуждать дальнейшие детали, хотя, насколько я помню, ваше понимание неверно.
Один только этот параметр определяет, как платформа ASP.NET интерпретирует маркер собственного пользователя, передаваемый IIS (поскольку IIS выполняет аутентификацию заранее с использованием своих поставщиков аутентификации). Поэтому для IIS 6/7/8, когда вы устанавливаете это на стороне ASP.NET, вам необходимо тщательно проверить, что является соответствующим параметром на стороне IIS.
Например, когда сторона IIS использует анонимную / (встроенную) проверку подлинности Windows / Basic / Digest, различные типы пользовательских токенов будут переданы в ASP.NET.
http://msdn.microsoft.com/en-us/library/907hb5w9(v=vs.100).aspx
Следовательно, ваше понимание
«Я могу установить для веб-сервера анонимный доступ, а затем каждое размещенное веб-приложение может, в свою очередь, определить, желает ли оно использовать проверку подлинности Windows, установив режим». Если вы намерены использовать проверку подлинности Windows для проверки подлинности клиентов, вы должны установить ее как на стороне IIS, так и на стороне ASP.NET. Начиная с IIS 7, IIS Manager помещает эти параметры в одно и то же место, но вам все равно необходимо полностью понимать их различия и взаимосвязи.
Для получения дополнительной информации об аутентификации ASP.NET вы можете обратиться к http://msdn.microsoft.com/en-us/library/eeyk640h(v=vs.100).aspx