服务帐户有什么意义？

在工作中，他们希望我创建一个服务帐户以在iis下为我的Web应用程序运行应用程序池。

为什么这会有用和/或必要？

它为您的应用程序提供了一个可以设置安全性的特定帐户。通常，该进程将以IIS用户帐户运行，因此具有与该帐户关联的所有特权。通过为该应用程序创建一个帐户，您可以仅对该服务帐户所需的资源分配权限。它显着减少了任何人利用您的应用程序的机会，并减少了您的应用程序对它本来不应该访问的系统某些部分产生不利影响的机会。

服务帐户用于两件事：隔离和审核。

隔离允许您将服务所需的最小权限授予服务帐户，以确保即使攻击者利用该服务并获得本地系统访问权限，其继续受到损害的能力也受到限制。即使在不是攻击者关注的情况下，隔离也可以防止越野车服务影响其他服务。

服务帐户可以帮助进行审核，因为不同服务执行的每个操作都将记录为来自不同用户，从而使一项行为不佳的服务与其他正常工作的服务区分开来。

尽管这些是服务帐户的主要用途，但还有其他用途，例如性能调整。以不同的用户身份运行每个服务使您可以使用现有的按用户资源分配来控制服务可用的资源。

对于任何希望保证安全的系统，我认为每服务服务帐户必须执行策略。

基本上：如果应用程序损坏，则它所能造成的损害仅限于该用户拥有或可写的文件。同样，如果应用程序受到威胁，则相同的限制适用于可以通过它访问的数据。

原则上，每一项软件都只能访问其所需的资源，而不能访问其他资源。自然，总是存在简化和折衷，但是以自己的帐户运行Web应用程序是应用此功能的主要措施之一。