用於 SQL Server 身份驗證的 IIS7.5 域帳戶應用程序池標識

在 Windows Server 2003/IIS6 領域，我們通常會創建一個應用程序池，該應用程序池作為 AD 帳戶的身份執行，該帳戶僅為此目的而以最低權限創建。同樣的域使用者也將被授予對 SQL Server 的訪問權限，以便該應用程序池中的任何 ASP.NET 應用程序都能夠使用 Integrated Security=SSPI 連接到 SQL Server。

我們正在勇敢地邁向 Windows Server 2008 R2/IIS7.5 的世界，並希望複製這個模型，但我正在努力解決如何讓 IIS7.5 中的應用程序池作為 AD 帳戶的身份執行？我知道這聽起來很簡單，希望如此，但到目前為止我的嘗試都沒有結果。

• 應用程序池標識是否應該是域帳戶的“自定義帳戶”？
• 是否需要將域帳戶添加到任何組？

是的，域帳戶將添加到自定義帳戶下：在高級設置 -> 身份下。以下資訊來自了解 IIS 7.0 中的內置使用者和組帳戶

IIS 7.0 在執行時自動將 IIS_IUSRS 成員身份添加到工作程序令牌。通過這樣做，已定義為作為“應用程序池標識”執行的帳戶不再需要明確屬於 IIS_IUSRS 組。

如果要禁用此功能並手動將帳戶添加到 IIS_IUSRS 組，請通過將 manualGroupMembership 值設置為“true”來禁用此新功能。下面是如何對 defaultAppPool 執行此操作的範例：

<applicationPools>
   <add name="DefaultAppPool">
      <processModel manualGroupMembership="true" />
   </add>
</applicationPools >

引用自：https://serverfault.com/questions/125808