Использую .NET Remoting и некую объектную модель приложения в виде слоя бизнес-логики.

Веб-приложение обязательно работает в домене. В Web.config включена имперсонификация.

Хочу явно проверять принадлежность текущего пользователя к той или иной группе Active Directory, для чего мне нужно как минимум получить имя его учетной записи в формате DOMAIN\user.
Это я могу сделать как минимум тремя способами:
1) WindowsIdentity.GetCurrent().Name
2) HttpContext.Current.User.Identity.Name
3) Через обращение к методу некоего COM+-объекта (COM+ приложение инсталлировано как серверное), в котором я также получаю WindowsIdentity текущего потока и, соответственно, имя учётной записи пользователя, выполнившего веб-запрос.

В том случае, если в свойствах каталога веб-приложения включена опция "Встроенная проверка подлинности Windows" и анонимный доступ отключен, то все три метода возвращают одинаковое значение.

В том случае, если анонимный доступ включен, то:
— первый метод возвращает имя учётной записи IUSR_ИМЯ_КОМПЬЮТЕРА
— второй метод возвращает пустую строку
— третий метод правильно идентифицирует пользователя, выполнившего запрос.

Вопрос: если таки разрешить анонимный доступ, могу ли я с уверенностью полагаться на identity, возвращаемый COM+? Я, честно говоря, не совсем понимаю, почему этот фокус с COM+ при разрешённом анонимном доступе к каталогу вообще работает.
Думаю, можешь.
Есть многое на свете, друг Гораций, что непонятно нашим мудрецам.