Cuando creas un sitio en IIS viene con un usuario por defecto que se llama IUSR
ese usuario es un usuario real del sistema aunque sin acceso a un monton de cosas, alguna vez nos paso al configurar un nuevo server, anda al usuario y colocale una nueva contrasenia, bien segura. (esto se hace en Administrative tools -> computer management -> users ->user-> IUSR_blablabla )
Luego vas a IIS al sitio web y le pones el usuario IUSR y el password
ISS manager -> boton derecho en el arbol que dice web sites, (para dejarlo por defecto y corregir todos los sitios ya creados) websites properties -> directory security -> edit -> hay le colocas 'enable anonymous access' y pones el usuario y el pass, le das click a aceptar y listo
lo otro si te sale un error 403 es por que los archivos fisicos no tienen el permiso al usuario IUSR