Это обычно делается так:
На виртуальную папку в IIS ставится авторизация "Integrated Windows Autentification". Это значит, что при попытке запустить скрипт из папки виндовс просит пользователя авторизоваться в Active Directory. Без этого обращения к скрипту не пойдет - веб сервер не пустит.
В скрипте Request["AUTH_USER"] вернет вам имя пользователя, который обратился на сайт. Это будет выражение вида: DOMAIN_NAME\USER_NAME

В базе данных в таблице пользователей заводите дополнительное поле: AD_LOGIN, где храните логин пользователя в домене, если у него он там есть.

Получив имя пользователя со страницы ищите в таблице в поле AD_LOGIN такого пользователя и если нашли, то считайте что пользователь авторизовался под этим аккаунтом.

>Я так же не уверенн в том что при установке "Integrated Windows Autentification" запрашиваются учётная запись в АД. А не локальное ли имя пользователя там запрашивается? То есть польз-ля того ПК на котором IIS работает.

У меня так интранет-сайт сейчас так работает. 3 года. И до этого так работали интранет-решения. Так вот, если пользователь авторизован в домене, то пароль у него спрашивать не будут а возьмут учетные данные в домене.

Почитайте про настройки IIS: авторизация "Integrated Windows Autentification" требует авторизоваться, а если вы уже авторизовались при включении компьютера, она ничего требовать не будет а просто передаст учетную запись в домене. Это называется "прозрачная авторизация".

Все просто:
ваш сайт это набор скриптов в директории. Делаете 2 корпии скриптов в разных папках - по сути копируете всю корневую структуру сайта в отдельную папку. Одна папка для внешних пользователей(там в IIS оставляете авторизацию как было ранее), другая - для внутренних(там настраиваете авторизацию Windows Integrated). Делаем по сайту(по виртуальной папке) на каждую папку. Получаем 2 одинаковых сайта. Оба сайта настраиваем на одну и ту же базу (если вся инфа хранится в базе а не в файловой системе). Получаем: один сайт работает на внутренних пользователей, другой на внешних.

Это можно усовершенствовать: сделать заходную страницу сайта, где сканировать адрес, с которого пришли на принадлежность вашему корпоративному интранету (по ip адресам в подсети). Если IP-адрес из подсети интранета - перекидывать на сайт с авторизацией Windows Integrated, иначе перекидывать на сайт с интеграцией как обычно.
Идея, как вы поняли в выносе аутентификации на 2 скрипта, на которых настроены разные настройки аутентификации. Эти скрипты должны отработать одинаково: прописать ID-пользователя в куки или сессию и потом перекинуть на общую страницу сайта. Заходная страница смотрит на подсеть посенителя и перекидывает на ту или другую страницу авторизации.

Описанный сверху способ с колпиями папок - частный случай этого подхода, когда копируется все.