我已经从microsoft/aspnet资源库创建了一个容器。 我想在IIS中将ASP.NET 4.x Web应用容器化，在其中我可以获取访问该站点的登录用户。 我希望能够利用集成的Windows身份验证，因为这是一个内部应用程序。

我已经为容器主机创建了透明网络。

此外，我还在容器内的IIS上设置了Windows身份验证。我已经读过有关在容器主机上创建组托管服务帐户的信息，但是我还没有做到这一点，并且不确定是否足够，否则我将不得不采取进一步的措施。

创建组托管服务帐户(gMSA)仅是为了使Windows身份验证可与容器一起使用而需要执行的步骤之一。您还需要一个凭据规范，其中包含有关您创建的gMSA的信息，并且容器将使用该凭据将gMSA帐户交换为应用程序的应用程序池所使用的内置帐户(LocalSystem，NetworkService，ApplicationPoolIdentity)。

实际上，最少的一组步骤是:

1)创建一个AD组，可用于添加将用于承载容器的计算机。

PS> New-ADGroup "Container Hosts" -GroupScope Global
PS> $group = Get-ADGroup "Container Hosts"
PS> $host = Get-ADComputer "mydockerhostmachine"
PS> Add-ADGroupMember $group -Members $host

PS> New-ADServiceAccount -name myapp -DNSHostName myapp.mydomain.local -ServicePrincipalNames http/myapp.mydomain.local -PrincipalsAllowedToRetrieveManagedPassword "Container Hosts"

PS> Add-WindowsFeature RSAT-AD-PowerShell
PS> Import-Module ActiveDirectory
PS> Install-AdServiceAccount myapp
PS> Test-AdServiceAccount myapp

PS> Invoke-WebRequest https://raw.githubusercontent.com/Microsoft/Virtualization-Documentation/live/windows-server-container-tools/ServiceAccounts/CredentialSpec.psm1 -OutFile CredentialSpec.psm1
PS> Import-Module .\CredentialSpec.psm1
PS> New-CredentialSpec -Name myapp -AccountName myapp

docker run --security-opt "credentialspec=file://myapp.json" -d -p
80:80 -h myapp.mydomain.local [my-image-name:tag]

RUN Import-Module WebAdministration; `
    New-Item -Path IIS:\AppPools\MyAppPool; `
    Set-ItemProperty -Path IIS:\AppPools\MyAppPool -Name managedRuntimeVersion -Value 'v4.0'; `
    Set-ItemProperty -Path IIS:\AppPools\MyAppPool -Name processModel -value @{identitytype='ApplicationPoolIdentity'}