Você está no caminho certo. O serviço de rede ou o IIS APPPOOL \ DefaultAppPool funcionará (embora o IIS APPPOOL \ DefaultAppPool seja mais seguro).
Você mencionou que definiu a autenticação anônima para DefaultAppPool. Eu suponho que você quer dizer que você configurou para usar a identidade do pool de aplicativos. Se sim, essa é uma boa configuração.
Algumas coisas para verificar:
- O \ leaflet é uma subpasta? Em caso afirmativo, alguma chance de estar em um pool de aplicativos diferente?
- Tudo o que você mencionou parece correto, então você pode querer usar o procmon para rastreá-lo. Uma rápida explicação sobre como usá-lo para solucionar essa situação pode ser encontrada aqui . Veja a semana 20.