一直以来IIS中的网站默认都是以network service在运行，但是从IIS7开始，默认会以ApplicationPoolIdentity运行。

这个账户比较特殊，是一种虚拟帐户，你无法在计算机用户列表中看到它，但是可以在任务管理器的进程列表中看到（显示出来的w3wp.exe的运行身份就是应用程序池的名称），据说是在应用程序池启动时动态创建的。

这种帐户的默认权限应该和原来的network service差不多，都只分配了最小的权限。

但是我们经常有设置允许某应用程序池（website）对某本地资源或网络文件夹进行访问的需求。那么如何来为这个虚拟帐户赋权呢？

对本地文件夹赋权时，可以用"IIS AppPool\ApplicationPoolName"，注意：查找范围需要是当前计算机而不是域。

当网站访问外部资源时他的身份是那台计算机，所以当为共享目录赋权时，赋权对象应该是计算机名，注意，查找对象类型需要选择Machine。