БМ>>Да, спасибо, нашёл, а то у меня, как выяснилось, даже картинки через 401 ходили.
S>Приготовление правильных веб приложений сродни приготовлению суши. Первые восемь лет учимся варить рис... Потом учим 10500 видов морепродуктов в лицо... И только потом сенсей разрешит разделать первую креветку
S>Зато потому правильный суши-мастер и ценится на вес золота.

Эт точно

БМ>>Но скрипты Ajax у меня загружаются через ScriptResource.axd, а это как я понял, обрабатывает aspnet_isapi.
БМ>>Как тут быть настройкой анонимности в IIS?
S>Хм. А какой полный путь к ScriptResource.axd? Я просто не вполне в курсе, как там оно сделано в Atlas, т.к. его никогда не использовал.

Если смотреть на пути которые asp.net генерирует для своих клиентских скриптов, то ScriptResource.axd лежит в корне веб-приложения, но его там нету. На сколько я понял, такого файла не существует а запросы к нему обрабатывает специальный HttpHandler из System.Web.Extensions:
web.config

<httpHandlers>
<add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=1.0.61025.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" validate="false"/>
</httpHandlers>

S>З.Ы. На всякий случай предлагаю военную хитрость (TM): создать там, откуда запрашивается ScriptResource.axd, файл с именем ScriptResource.axd нулевой длины. И на нем настроить IIS использовать только анонимную аутентификацию. По идее, это должно привести к тому, чтобы IIS не брыкался, а сразу отдавал запрос в мозолистые лапы ASP.NET. Который, в свою очередь, должен файло игнорировать, а отдавать скрипт своими силами.

Хм, интересная мысль, верится с трудом, но я всё же попробую