Пул приложений IIS 6.0 под учетной записью службы домена не может использовать проверку подлинности NTLM

Я пытаюсь переместить старый внутренний веб-сайт в его собственный пул приложений, запускаемый его собственной учетной записью службы, чтобы я мог получить более точный контроль над его разрешениями и тому подобным.

Сайт настроен на использование проверки подлинности NTLM, и он недостаточно велик, чтобы я захотел настроить Kerberos. Аутентификация NTLM отлично работает в старом пуле приложений по умолчанию, но когда я переместил сайт в новый пул приложений и установил идентификатор, соответствующий идентификатору учетной записи службы, любая попытка загрузить страницу вылилась бы в три приглашения на вход в систему, за которыми следовали ошибка 401.1 (в основном то, что описано здесь, за исключением того, что Kerberos нигде не должен быть задействован).

Учетная запись службы находится в группе IIS_WPG. Я проверил, чтобы убедиться, что учетная запись службы и пользователь, пытающийся получить доступ к сайту, оба имеют доступ к каталогу сайта и имеют (оба имеют права на чтение / выполнение, запись, просмотр содержимого и изменение). Я также включил анонимный доступ и смог загрузить сайт таким образом (затем отключил его для дальнейшего тестирования).

Из любопытства я попытался вернуть пул приложений к учетной записи по умолчанию и повторил попытку, не изменяя другие параметры. На этот раз все заработало - пользователь без проблем прошел проверку подлинности на сайте. Естественно, это немного смущает меня, так как я не изменил никаких других настроек.

Существуют ли какие-то разрешения, присущие учетной записи IIS по умолчанию, которые позволяют это? Нужно ли добавить разрешение к моей учетной записи службы, чтобы она могла аутентифицировать пользователей с помощью Active Directory?