Уважаемый Kiri,

на мой взгляд, существует несколько вариантов решения Вашей проблемы:
Вариант 1:
1. Для того, чтобы уйти от PCNAME\IUSR_PCNAME при работе ASP вам нужно включить Integrated Security (ну, или хотя бы Basic Authentication, но тогда желательно использовать SSL) на вашем веб-сервере
2. Включить опцию (если таковая имеется, но по-моему если я правильно помню, IIS и так поймет) когда IIS аутенцифицирует пользователя и в дальнейшем использует login credentials этого пользователя для всех дальнейших вызовов
3. Всех пользователей, которые могут работать с базой данных, добавить либо в домен, либо просто на веб-сервер, чтобы IIS мог спокойно провести аутентификацию.
4. Сконфигурировать SQLServer так, чтобы упомянутые выше пользователи (и только они + администраторы) получили к нему доступ - никаких "Доступ к базе данных на сервере открыт для всех"!!! :)

Недостаток подхода такого в том, что если у вас не интранет-приложение (где набор пользователей более или менее ограничен), то придется создавать кучу пользователей....

Вариант 2 (предпочтительный, но почему-то не всегда его реализуют):
Для всех "бизнес"-вызовов внутри ASP написать COM-компоненты, и там, внутри COM-библиотеки, уже коннектиться к SQL как вашей душеньке угодно.

Вариант 3 - сочетание первого и второго варианта.

С уважением, Дмитрий

Есть такое понятие как "многоуровневые" приложения.
Самое распространенное количество уровней - 3
Уровень 0 - уровень данных.
Тут ваши соединения с базой данных, коннекшны и рекордсеты.
Уровень 1 - уровень бизнес-логики.
Тут расположены объекты, которые отвечают за бизнес-логику (получение списка клиентов, проверка данных кредитной карты, проведение банковской транзакции).
Эти объекты, естественно, используют уровень 0 для доступа к базе данных.
Уровень 2 - уровень интерфейса с пользователем.
Тут сидит ваш ASP или просто клиент на VB/C++/Delphi-что угодно. Объекты этого уровня ответственны за получение данных от пользователя, передачу данных к объектам уровня 1, получение назад результатов и предстваление результатов пользователям.

Главный и самый строгий закон - ОБЪЕКТЫ УРОВНЯ <N> МОГУТ ОБЩАТЬСЯ ТОЛЬКО С ОБЪЕКТАМИ УРОВНЕЙ <N> и <N-1>. Другими словами, из ASP в базу не лазить!!! Нужна какая-то функциональность - пишите бизнес-объект и к нему обращайтесь из ASP.

Для "простого" ASP как правило бизнес-логика пишется с помощью COM-объектов (на VB или С++) и вызывается из ASP с помощью Server.CreateObject(...)
Для ASP.NET другая песня - там все интегрировано в "одном проекте" но тем не менее все равно следует разделять "бизнес" классы и классы "пользовательского интерфейса"...

Если интересно, почитайте в MSDN например вот по такой строке в search: ASP "Using Components and Objects"

Дмитрий