A solução foi criar um novo usuário de domínio com direitos de acesso limitados. Adicione este novo usuário como um login para MSSQL apenas para o banco de dados específico para apenas as permissões que você precisa (por exemplo, ler e escrever somente).
Em seguida, configure o site do IIS para se conectar com esse novo usuário de domínio. Você poderia pensar que configurar isso como a Identidade do Pool de Aplicativos funcionaria, mas isso não acontece! Para fazê-lo funcionar, você também deve atribuir o computador com direitos de delegação no AD (Confie neste usuário para delegação a qualquer serviço (somente Kerberos)).
Em vez disso, basta abrir as configurações básicas do site e clicar na opção Connect As...
e inserir os detalhes de login aqui.
Esse método não exige que você especifique o nome de usuário e / ou a senha na cadeia de conexão, tudo é gerenciado no IIS.