如何通过LDAP的控制器使用ASP.NET模拟

我读过很多类似于我的问题的SO问题，但似乎没有什么能同时触及所有问题。

我有一个使用Windows身份验证的ASP.NET MVC应用程序，应用程序池标识设置为专用服务帐户。这允许我们使用WindowsPrincipal根据我们的系统角色对用户进行身份验证，但让任何外部系统（即数据库）仅根据服务帐户对我们的应用程序进行身份验证。

在我们想将数据更改推送到用户的AD帐户之前，一切都很好，因为公司的政策是，我们必须作为经过身份验证的用户这样做，但我们显然没有用户的密码才能使用DirectoryEntry重载。

在这种情况下，以下返回一个有效的DirectoryEntry实例，但CommitChanges抛出UnauthorizedAccessException"拒绝访问"。即使当前标识（在Thread.CurrentPrincipal和请求上）是当前用户模拟级别是模拟。

using (var de = new DirectoryEntry("LDAP://" + userPath))
{
    de.Properties["telephoneNumber"].Value = phone;
    de.CommitChanges();
}

我还尝试过在用户的WindowsIdentity上使用HostingEnvironment.Impersonate和WindowIdentity。ImpersonateirectoryEntry，其中DirectoryServicesOMException"发生操作错误"。

例如（不是实际代码），

using (var hei = System.Web.Hosting.HostingEnvironment.Impersonate(wi.Token))
using (var de = new DirectoryEntry("LDAP://" + userPath));

和

WindowsImpersonationContext ctx = wi.Impersonate();
using (var de = new DirectoryEntry("LDAP://" + userPath));

据我所知，LDAP不支持这种类型的模拟。

我能够使其工作的唯一方法（仅限于我自己）是为自己设置应用程序池标识，证明LDAP代码是正确的，但这并不能让我更接近如何正确地进行身份验证。我试过<identity simulate="true"/>（我们通常将其设为false），但它并没有改变任何内容。

任何指导都将不胜感激，因为我已经没有什么可调整的了。

编辑一些额外的上下文

几乎是TL；DR：

这是一项新功能，因此系统在通过IIS对用户进行身份验证方面按预期工作。我们获取用户的有效WindowPrincipal和WindowsIdentity。

我们的用户可以修改AD中的某些字段，如"telephoneNumber"，因此我们无法访问（因为我们不需要）用于更改用户的特权帐户
如果我将所有内容都设置为自己，我可以更改自己的AD数据，但当应用程序以服务帐户（甚至匿名）运行时，我无法进行模拟。