问在将IIS标识改为网络服务而不是ApplicationPoolIdentity时，有什么需要考虑的吗？

EN

如果你能避免的话，不要这样做--使用NetworkService意味着你的应用程序池与盒子上的许多其他服务的身份相当。

ApplicationPoolIdentity是一个虚拟用户帐户，它映射到应用程序池名称。它们在本地用户和组中是不可见的(除非您已使其成为组的成员)。

可以在对象选择器或其他用户名接受位置分配权限，方法是指定

IIS AppPool\AppPoolNameHere

(注意间距)。

它不是您可以直接浏览到的东西，但是它是一个带有SID的项，因此可以用来保护任何安全资源(文件、文件夹、注册表等)。

在默认情况下，任何IIS进程都是IIS_IUSRS的成员，但是如果您想要更精确和更安全，以便只有一个应用程序池可以使用它，可以使用AppPoolIdentity。

这取决于您的应用程序还在做什么--但是一般来说，它应该没有问题。

如果您需要以非常细粒度的方式为应用程序分配权限，我建议专门为应用程序池标识创建一个新用户，而不是使用Network。

如果不需要网络资源，就不要使用网络服务。您是否正在访问UNC路径，如果是，我将使用域帐户和网络服务。使用ApplicationPoolIdentity是最安全的方法。