Пул приложений IIS 6.0 под учетной записью службы домена не может использовать проверку подлинности NTLM

Я пытаюсь переместить старый внутренний веб-сайт в собственный пул приложений, управляемый его собственной учетной записью службы, чтобы я мог получить более детальный контроль над его разрешениями и т. Д.

Сайт настроен на использование проверки подлинности NTLM, и он недостаточно велик, чтобы я хотел утруждать себя настройкой Kerberos. NTLM auth отлично работает в старом пуле приложений по умолчанию, но когда я переместил сайт в новый пул приложений и установил Identity как учетную запись службы, любая попытка загрузить страницу приведет к появлению трех запросов на вход, за которыми следует ошибка 401.1 (в основном то, что описывается Вот, за исключением того, что Kerberos нигде не должен участвовать).

Учетная запись службы находится в группе IIS_WPG. Я проверил, что и учетная запись службы, и пользователь, пытающийся выполнить проверку сайта, имеют доступ к каталогу сайта, и они есть (у обоих есть чтение / выполнение, запись, отображение содержимого и изменение). Я также включил анонимный доступ и смог загрузить сайт таким образом (затем я снова выключил его для дальнейшего тестирования).

Из любопытства я попытался вернуть пул приложений к учетной записи по умолчанию и повторил попытку, не меняя никаких других настроек. На этот раз все сработало нормально - пользователь без проблем прошел аутентификацию на сайте без каких-либо проблем. Естественно, это меня немного смущает, так как других настроек я не менял.

Существуют ли какие-либо разрешения, присущие учетной записи IIS по умолчанию, которые позволят это сделать? Есть ли разрешение, которое мне нужно добавить к моей учетной записи службы, чтобы она могла аутентифицировать пользователей с помощью Active Directory?