Respostas:
Ele fornece ao seu aplicativo uma conta específica pela qual você pode definir a segurança. Normalmente, o processo seria executado como a conta de usuário do IIS e, portanto, terá todos os privilégios associados a essa conta. Ao criar uma conta apenas para esse aplicativo, você pode atribuir direitos a essa conta de serviço apenas para os recursos necessários. Reduz significativamente as chances de alguém explorar seu aplicativo e reduz as chances de seu aplicativo ter um efeito adverso em alguma parte do sistema que ele não deve acessar de qualquer maneira.
Uma conta de serviço é usada para duas coisas: isolamento e auditoria.
O isolamento permite conceder os direitos mínimos necessários para o serviço à conta de serviço, garantindo que, mesmo que um invasor explore o serviço e obtenha acesso ao sistema local, sua capacidade de causar danos adicionais é limitada. Mesmo em um caso em que um invasor não é uma preocupação, o isolamento impede que um serviço de buggy efetue outros serviços.
A auditoria pode ser auxiliada por contas de serviço, pois todas as ações executadas por um serviço diferente serão registradas como provenientes de um usuário diferente, facilitando a diferenciação de um serviço com mau comportamento dos outros que estão funcionando corretamente.
Embora esses sejam os usos principais das contas de serviço, há outros, como o ajuste de desempenho. A execução de cada serviço como um usuário diferente permite usar a alocação de recursos por usuário existente para controlar os recursos disponíveis para um serviço.
Considero a política obrigatória de contas de serviço por serviço obrigatória para qualquer sistema que espere ser seguro.
Basicamente: se o aplicativo quebrar, o dano que ele pode causar é restrito apenas aos arquivos pertencentes ou graváveis por esse usuário. Além disso, se o aplicativo estiver comprometido, a mesma restrição se aplicará aos dados que podem ser acessados por meio dele.
Principalmente, todo item de software deve ter acesso apenas aos recursos de que precisa e nada mais. Naturalmente, sempre há simplificações e compromissos, mas a execução de um aplicativo Web por conta própria é uma das principais medidas para a aplicação.