我需要在一个使用组策略为 Active Directory 域中的所有计算机应用标准用户权限分配的环境中部署基于 IIS 的 Web 应用程序。安装应用程序时,它会自动将各种应用程序池标识(IIS APPPOOL\NET v4.5、IIS APPPOOL\DefaultAppPool、IIS APPPOOL.NET v4.5 Classic)添加到本地安全策略用户权限分配,但是当应用组策略时,这些标识会被覆盖。
我知道 IIS APPPOOL\xxxxx 不能添加到组策略中,但我不确定在这种情况下什么才是最佳做法。对于 NT 服务虚拟帐户,可以将 NT SERVICE\ALL SERVICES 添加到组策略中,但 IIS APPPOOL 似乎没有等效的策略。
我想到的选项是:
将 IIS 应用程序池更改为作为 NT 服务运行
将 IIS 应用程序池更改为以域帐户运行
这两种选择似乎都不理想。还有其他我不知道的选择吗?还是使用 NT 服务是两害相权取其轻?