IIS 身份：應用程序池與基本設置中的連接方式

在 IIS 7.5 中網站的基本設置部分，有一個選項可以通過Connect As.... 如果保持關閉，則使用直通身份驗證。

我認為這將使用應用程序池的身份，但事實並非如此。為了讓我的網站在正確的使用者帳戶下連接到 MSSQL，我必須在Connect As...螢幕下指定使用者。

Connect As...那麼和Application Pool Identity有什麼區別呢？

我推測這可​​能與電腦通過網路模擬應用程序池身份的能力有關。“連接身份”已保存（並加密）憑據，因此它可以創建完整的主令牌並以該使用者身份訪問資源。使用“應用程序使用者（通過身份驗證）”，這將是一個現有的令牌並試圖使用該令牌進行模擬。在這種情況下，如果執行模擬的電腦不受委派信任，則它不會成功。

這應該很容易測試和驗證。

電腦是否受委派信任？在 Active Directory 使用者和電腦 > 電腦 > 屬性 > 委派選項卡中。選擇“信任此電腦以委託給任何服務（僅限 Kerberos）”。

您可能還需要設置 IIS7 配置設置“useAppPoolCredentials”。這可以使用以下命令進行設置：

appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true  

useAppPoolCredentials = True，2008 年使用 Kerberos 委派

https://blogs.technet.com/b/proclarity/archive/2011/03/08/useapppoolcredentials-true-with-kerberos-delegation-on-2008.aspx

可能相關：

https://stackoverflow.com/questions/3775569/help-with-kerberos-authentication-in-iis-7

引用自：https://serverfault.com/questions/366234