Las diferencias entre autenticación y sesión son las de siempre...

La autenticación se produce en el momento en que envías unas credenciales que son aceptadas por el otro punto... En ese momento se crea una llave de sesión, que sirve para firmar y sellar todos los paquetes de comunicación durante esa sesión (hasta que haces logoff).

Lo que quiere decir es que tanto para la autenticación, como para la sesión, se usará el nivel de seguridad más alto...

Es algo similar a lo que comentábamos el otro día sobre HTTPS y HTTP. Cuando mandas las ceredenciales puedes hacerlo vía HTTPS, y UNA VEZ OBTIENES UNA COOCKIE DE SESIÓN, pasas a http (ya no se transmiten credenciales) por ser más eficiente (sonsume menos recursos).

Con ésto podrías hacer algo similar. Exigir un nivel de NTLM superior (v2) para el trasiego de claves/desafio/respuesta (autenticación), y bajar el nivel una vez obtenidas las llaves de sesión...

Con tu directiva fuerzas a que toda la comunicación/sesión se establezca con NTLMv2 (según indicas).