Por que a atribuição de permissões de leitura e execução ao IIS_IUSRS concede acesso ao SERVIÇO DE REDE?

Eu tenho um site ASP clássico que estou tentando configurar com autenticação anônima. Abaixo está minha configuração atual:

• Identidade do pool de aplicativos: NetworkService
• Usuário de autenticação anônima: IUSR

Atribuir permissões de leitura e execução à conta IUSR e à conta NETWORK SERVICE no diretório do site permite acesso anônimo. No entanto, por algum motivo, as permissões NETWORK SERVICE podem ser atribuídas a IIS_IUSRS e obtêm o mesmo efeito. Isso parece estranho para mim, pois o pool de aplicativos está sendo executado com a identidade NetworkService selecionada, não com a identidade ApplicationPoolIdentity. E usar net localgroup IIS_IUSRS revela que NETWORK SERVICE não é membro do grupo IIS_IUSRS na máquina.

Então, por que atribuir permissões para IIS_IUSRS dar acesso à conta NETWORK SERVICE ?

Pensei que talvez houvesse alguma estranha lógica de fallback em que ele tentasse usar a conta virtual do pool de aplicativos se não pudesse autenticar com NETWORK SERVICE , mas a execução do Process Monitor revela que o processo w3wp.exe é autenticado usando NT Authority\NETWORK SERVICE . Alguma idéia?

Aqui estão algumas informações do servidor, se isso ajudar:

• SO: Service Pack 1 do Windows Server 2008 R2 Standard
• IIS: 7.5.7600.16385
• Pool de aplicativos: .NET Framework v2.0, Pipeline gerenciado clássico, NetworkService Identity