Права пользователя, необходимые для пользователя пула приложений IIS 7.5 (пользователь домена, а не AppPoolIdentity)

У нас есть домен активного каталога (назовем его foodomain ) и учетная запись пользователя домена ( foodomain \ fooAppPoolUser ). для удостоверения пула приложений IIS.

Мы хотим запустить пул приложений под этой учетной записью пользователя, а не под Сетевой службой или новым AppPoolIdentity , поскольку нам нужно получить доступ к SQL-серверу и иметь несколько приложений на IIS (с собственные пулы приложений) с доступом к различным базам данных.

Проблема в том, что я не могу найти четкого HOW-TO, объясняющего, какие права пользователя должны быть установлены для этой учетной записи пользователя и как нужно настроить IIS, чтобы это работало.

Сначала у меня были ошибки (к сожалению, я не могу вспомнить, какие именно), затем я добавил fooAppPoolUser в локальную группу администраторов ( Administrators , я знаю, был только для тестирования) , тогда это сработало. Теперь я снова удалил пользователя, перезапустил IIS, и он все еще работает.

Я немного запутался и хотел бы знать, как должна быть конфигурация / настройка, чтобы все работало.

Где-то я читал, что учетная запись должна иметь " Выдать себя за клиента после аутентификации "права пользователя. По этой причине я добавил учетную запись в группу администраторов (назначение прав пользователя заблокировано с помощью групповой политики, но это наверняка можно изменить, если это действительно необходимо.

Я надеюсь, что я достаточно ясно понял, в чем вопрос, и надеюсь, что у кого-то есть ответ.