Esta é claramente uma resposta tardia e tenho certeza que você resolveu isso ou trabalhou em torno dele, mas no caso de isso ajudar alguém:
Você pode definitivamente usar o MSDeploy para implantar um pacote usando a autenticação NTLM, mesmo quando o servidor da Web de destino estiver em outro domínio. Esta é aproximadamente a linha de comando que usamos:
msdeploy.exe -source:package='MyPackage.csproj.zip' -dest:auto,computerName='https://www.myserver.com:8172/MsDeploy.axd?site=mysitename',authtype='NTLM',includeAcls='False' -verb:sync -disableLink:AppPoolExtension -disableLink:ContentExtension -disableLink:CertificateExtension -setParamFile:"MyPackage.csproj.SetParameters.xml"
Para que isso funcione, executamos esse comando a partir da máquina de origem no contexto de segurança de um nome de usuário + senha que corresponde identicamente a um nome de usuário + senha no domínio de destino.
O arquivo param provavelmente não tem relação com a autenticação, mas eu acabei de incluí-lo por completo. Este é o método que usamos para aplicar diferentes cadeias de conexões para o aplicativo, dependendo de onde ele é implantado.
Não usamos a abordagem "net use" para estabelecer um token, não tenho certeza de que isso se traduza facilmente na autenticação NTLM via HTTP.