Почему IIS использует учетную запись IUSR_Machine для загрузки aspnet_isapi.dll, когда он должен использовать учетную запись пула приложений?

Недавно мне было поручено починить сервер Windows Server 2003 под управлением IIS 6.0, который давал:

HTTP Error 401.3 - Unauthorized: Access is denied due to an ACL set on the requested resource.

Он начал давать эти ответы после того, как был применен патч обновления Windows kb2633880, который, похоже, изменил некоторые разрешения по умолчанию для учетной записи IUSR_Machine и каталога.Net framework.

Проблема в том, что все запросы на ресурсы asp.net (например,.aspx) не работали, в то время как все остальное работало (например, текст, html). Приложение настроено на обслуживание анонимных запросов с использованием учетной записи IUSR_machine и сетевой службы для учетной записи пула приложений.

Я подтвердил, что учетная запись сетевой службы может получить доступ к C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 каталог просто отлично, но учетная запись IUSR_machine не может. После предоставления учетной записи IUSR_machine доступ к C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 каталог проблема решена. Это кажется мне очень странным.

У меня вопрос, почему IIS не использует учетную запись пула приложений (сетевая служба) для загрузки aspnet_isapi.dll? Из вышеупомянутого устранения неполадок кажется совершенно ясным, что он фактически использует IUSR_machine для этого, что похоже на дыру в безопасности. Идентификационный тег в web.config также не установлен, поэтому используется по умолчанию.

Буду признателен за любые советы по этому вопросу, спасибо.