IIS)でアプリプールIDとローカルアカウントを使用する
自社で開発したWebアプリケーションを強化することになっているので、この目的のためにWebサイトごとに個別のアプリケーションプールを作成することにしました。私の質問は、アプリケーションプールIDを使用する方が安全か、それともアプリケーションプールごとに個別のローカル/ドメインアカウントを使用するかです。
アプリプールIDを使用する理由は、純粋にセキュリティの問題です。 Windowsにはこれに別の名前があります。これらは「仮想アカウント」とも呼ばれます。
「ネットワークサービス」、特に「ローカルマシン」アカウントには、デフォルトで特権が多すぎます。ローカルマシンはシステム全体に無制限にアクセスでき、ネットワークサービスはネットワークサービスとしても実行されている他のWindowsサービスをいじくり回すことができます。アプリプールID、および一般的な仮想アカウントは、サービスに必要な最低限の権限をのみ割り当てることができる単純なメカニズムです。それ以上のドロップではありません。また、どの「ネットワークサービス」がマシン上で何らかのアクションを実行したかなどを追跡するのに苦労するため、ACLと監査の観点から物事をまっすぐに保つのにも役立ちます。