我在 StackOverflow 上问过这个问题已经没有收到任何答复,所以我想知道 ServerFault 人群是否可能知道更多。
我基本上想问的是:
有没有办法配置一个具体的IIS AppPool\MyApp
身份来允许CreateProcessWithLogonW
呼叫?
既然可以配置任意文件系统权限,那么肯定也有办法允许使用凭据生成新进程,不是吗?
如果确实没有,那么建议的补救措施是什么?将 AppPool Identity 更改为LocalService
或NetworkService
是否安全,安全吗?