Я вышел из положения так. На SQL создал логин ИМЯ_МАШИНЫ_С_IIS$ и дал ему доступ к базе. При этом в machine.config на машине с IIS и ASP.NET стоит <identity impersonate="false">, т.е. раб.процесс ASP.NET работает под учетной записью LocalMachine. Но все равно мне такой выход не очень нравится, т.к. теоретически любой процесс или служба, которые стартуют под LocalMachine получают доступ к SQL. Хотел сменить учетную запись ASP.NET, но тогда он мне начал выдавать всякую хрень при обращении к веб-службе.

Протормозил. Еще в machine.config должно стоять <processModel userName="machine" password="AutoGenerate" />

hDrummer

В том-то и фишка, что хотим уйти от сиквельной аутентификации. Задача стоит как раз наоборот - дать доступ к веб-службе анонимусам, аутентифицировать их на уровне приложения, и в зависимости от этого служба должна коннектиться к SQL с виндовой аутентификацией и включать соответствующую роль приложения.

Я пытался в IIS 6.0 (стоит на WinServer2003) заставить ASP.NET работать под доменной учетной записью, чтобы этой записи дать доступ к SQL. Web-приложения клиент-серверные работают, а Web-приложения, которые коннектятся к Web-службе, перестают в упор видеть proxy dll, пытаются найти его в системном каталоге, причем дают тому, что они ищут, сгенерированные случайным образом имена.

Вобщем-то это уже не IWAM получается

Конечно, я не уверен в 100%-й безопасности, но ведь коннект идет под учетной записью доменной машины, только у нее доступ к SQL. Почему не IWAM?