我完全懂你的困扰——用AppCmd修改DefaultAppPool身份时，它只管执行命令，完全不校验用户名和密码是否有效，结果程序池一启动就崩，排查起来还摸不着头绪。下面给你一套能彻底解决这个问题的方案：

1. 先验证凭据有效性再执行AppCmd #

核心思路很简单：在调用AppCmd修改应用池身份前，先用Windows系统自带的API验证用户输入的凭据是否合法。这里我们用LogonUser这个Win32 API，它专门负责验证用户身份的有效性。

在Inno Setup脚本中实现凭据验证 #

在你的脚本[Code]段里添加以下代码：

function LogonUser(lpszUsername, lpszDomain, lpszPassword: string;
    dwLogonType, dwLogonProvider: DWORD; var phToken: THandle): BOOL;
    external 'LogonUserW@advapi32.dll stdcall';

function CloseHandle(hObject: THandle): BOOL;
    external 'CloseHandle@kernel32.dll stdcall';

function ValidateCredentials(const Username, Password: string): Boolean;
var
    TokenHandle: THandle;
    Domain, User: string;
    SeparatorPos: Integer;
begin
    Result := False;
    TokenHandle := 0;

    // 拆分用户名和域名（支持DOMAIN\user或.\user格式）
    SeparatorPos := Pos('\', Username);
    if SeparatorPos > 0 then
    begin
        Domain := Copy(Username, 1, SeparatorPos - 1);
        User := Copy(Username, SeparatorPos + 1, Length(Username));
    end
    else
    begin
        // 无域名时默认用本地计算机名
        Domain := GetComputerNameString;
        User := Username;
    end;

    // 调用LogonUser验证凭据，用交互式登录类型+默认提供者
    if LogonUser(User, Domain, Password, 2, 0, TokenHandle) then
    begin
        Result := True;
        CloseHandle(TokenHandle); // 用完记得关闭令牌句柄
    end;
end;

2. 在安装流程中加入验证逻辑 #

拿到用户输入的用户名和密码后，先调用上面的验证函数，通过后再执行AppCmd：

procedure CurStepChanged(CurStep: TSetupStep);
var
    UserName, Password: string;
    AppCmdPath, CmdLine: string;
    ExitCode: Integer;
begin
    if CurStep = ssInstall then
    begin
        // 替换成你实际获取用户输入的变量
        UserName := WizardForm.UserNameEdit.Text;
        Password := WizardForm.PasswordEdit.Text;

        // 先做凭据验证
        if not ValidateCredentials(UserName, Password) then
        begin
            MsgBox('输入的用户名或密码无效，请重新填写。', mbError, MB_OK);
            Abort; // 终止安装流程
        end;

        // 验证通过后执行AppCmd修改应用池
        AppCmdPath := ExpandConstant('%windir%\system32\inetsrv\appcmd.exe');
        CmdLine := Format('set AppPool DefaultAppPool -processModel.identityType:SpecificUser -processModel.userName:"%s" -processModel.password:"%s"', [UserName, Password]);
        
        if not Exec(AppCmdPath, CmdLine, '', SW_HIDE, ewWaitUntilTerminated, ExitCode) then
        begin
            MsgBox('执行AppCmd命令失败，错误码: ' + IntToStr(ExitCode), mbError, MB_OK);
            Abort;
        end
        else
        begin
            // 可选：额外验证应用池能否正常启动
            CmdLine := 'start AppPool DefaultAppPool';
            if not Exec(AppCmdPath, CmdLine, '', SW_HIDE, ewWaitUntilTerminated, ExitCode) then
            begin
                MsgBox('应用程序池启动失败，请检查该账号是否有足够权限。', mbError, MB_OK);
                // 这里可以选择终止安装或提示用户手动排查
            end;
        end;
    end;
end;

3. 几个关键注意事项 #

• 必须以管理员身份运行：在脚本[Setup]段添加PrivilegesRequired=admin，修改IIS应用池和调用LogonUser都需要管理员权限。
• 密码输入安全：用Inno Setup的PasswordEdit控件让用户输入密码，避免明文显示。
• 兼容域/本地用户：代码已经处理了DOMAIN\user和本地用户的情况，用户输入.username格式的本地账号也能正常识别。

这样就能在执行AppCmd前把无效凭据拦下来，从根源避免应用程序池崩溃的问题了。

内容的提问来源于stack exchange，提问作者Mateusz R