"Используется" одновременно 3 разных учетных записи:
1. Учетная запись пользователя, под которым запущено клиентское приложение.
2. Учетная запись, используемая IIS для анонимных пользователей (настраивается в св-вах virtual folder).
3. Учетная запись, под которым запущен процесс рабочий процесс asp.net (настраивается в machine.config/processModel).

Учетная запись, от имени которой выполняется код приложения (та самая, у которой не хватает прав) определяется следующим образом:
1. По умолчанию: Сonfiguration/system.web/identity/@impersonate = false, используется №3.
2. Сonfiguration/system.web/identity/@impersonate = true - используется токен, полученный от IIS (№2 или №1)
3. Сonfiguration/system.web/identity/@impersonate = true, явно заданы identity/@userName и identity/@password. - они и используются.

Изменение processModel machine.config меняет учетную запись для всех приложений, изменение identity - только для одного.