（这是一个关于一个模糊的问题问题，我尝试present所有相关数据，希望有人有有用的信息;道歉的长描述。）

(This is a question about a vague problem. I try to present all relevant data, in the hope that someone has helpful information; apologies for the long description.)

我们的Web应用程序

我们必须运行在IIS 7.5在.NET 4的Web应用程序访问Active Directory和SQL Server数据库。

We have a .NET 4 web application running in IIS 7.5 accessing Active Directory and a SQL Server database.

此Web应用程序在一个虚拟的应用程序池标识运行，应用程序的应用程序池的身份设置的 ApplicationPoolIdentity 。一简要说明虚拟身份可以在出现StackOverflow的答案和博客文章到它是指：一个应用程序池标识刚刚被添加到正在运行的网络服务Web应用程序的工作进程附加组。然而，一个源含糊地表明，网络服务和ApplicationPoolIdentity确实有区别的IIS.net网站文件不公布。因此，一个虚拟身份可能不仅仅是一个额外的组。

This web application is running under a virtual 'app pool identity', by setting the Identity of the application's application pool to ApplicationPoolIdentity. A concise description of virtual identities can be found in a StackOverflow answer, and the blog post to which it refers: an app pool identity is just an additional group which is added to the web application's worker processes which is running as 'network service'. However, one source vaguely suggests that "Network Service and ApplicationPoolIdentity do have differences that IIS.net site documents do not publish." So a virtual identity might be more than just an additional group.

我们选择使用ApplicationPoolIdentity，而不是网络服务，因为它成为了默认的IIS 7.5中（例如，见的此处），并根据Microsoft的建议：这个身份允许管理员指定只，涉及到其下的应用程序池运行，从而提高服务器安全性的身份权限 （从processModel元素添加对applicationPools [IIS 7设置架构] ）应用程序池标识是一个强大的新的隔离功能，这（从的IIS.net线程使用ApplicationPoolIdentity连接到SQL，特别是在的