Pergunta antiga, mas eu encontrei a resposta, então vou postar aqui só para fechar. Isso é para qualquer um que possa estar interessado.
A resposta é não, o IIS não faz o gerenciamento de usuários, portanto, usar uma conta de domínio expirada, pois o ID do aplicativo não é o ideal.
O perigo aqui é em um caso em que o servidor está sendo atingido constantemente, o período entre a alteração da senha e a alteração no pool de aplicativos pode resultar em bloqueio da conta, forçando você a desbloqueá-la manualmente.