BITS, TakeOwnership и встроенная аутентификация Kerberos / Windows

Мы используем BITS для загрузки файлов с компьютеров в наших точках розничной торговли на наши серверы. BITS прекратит передачу файла, если пользователь, владеющий заданием BITS, выйдет из системы. Поэтому мы используем службу Windows, работающую как LocalSystem, для отправки заданий в BITS и являемся их владельцем. Это позволяет переводам продолжаться 24/7.

Однако возникает вопрос об аутентификации. Мы хотим, чтобы серверные расширения BITS в IIS использовали Kerberos для аутентификации клиентского компьютера. Насколько я могу судить, это оставляет нам только 2 варианта, оба из которых не идеальны: либо мы создаем учетную запись "ImageUploader" и сохраняем ее имя пользователя / пароль в файле конфигурации, который служба Windows использует в качестве учетных данных для BITS. задание или мы просим вошедшего в систему пользователя, который создает задание BITS, ввести его пароль, а затем использовать его учетные данные для задания BITS. Я предполагаю, что третий вариант - не использовать Kerberos, и, возможно, использовать Basic Auth плюс SSL.

Я уверен, что я не прав, и есть лучший вариант. Есть?

(Кстати, вот реклама документации BITS об учетных записях служб, олицетворении и BITS):

Учетные записи служб и биты Вы можете использовать биты для передачи файлов из службы. Служба должна работать как системная учетная запись LocalSystem, LocalService или NetworkService. Задания, созданные системной учетной записью, принадлежат этой учетной записи. Поскольку системные учетные записи всегда входят в систему, BITS передает файлы, пока компьютер работает и существует сетевое подключение. Если служба, работающая под системной учетной записью, олицетворяет пользователя перед вызовом BITS, BITS отвечает так же, как и для любой учетной записи пользователя (пользователь должен войти в систему). Для получения дополнительной информации об использовании службы с BITS см. Platform SDK.

Благодарю.