Массив журнала транзакций должен быть, по крайней мере, RAID 1 (зеркально отраженным), и 1+0 рекомендуется (зеркально отраженный + чередуемый), который требует минимума 4 физических дисков.
RAID 5 никогда не должен использоваться для Журналов транзакций, только для файлов данных из-за природы последовательного шаблона записи для Журналов транзакций, и для производительности необходимо всегда разделять Журнал и Файлы данных на различные физические массивы.
В IIS7 я бы настроил анонимного пользователя сайта на использование удостоверения пула приложений, после чего вы можете назначить пользователя удостоверения пула приложений.
В IIS6 я обычно рекомендую установить специального пользователя для удостоверение пула приложений, хотя, если у вас есть только пара сайтов на сервере, которые доверяют друг другу, вы можете оставить его как сетевой сервис. В IIS6, в зависимости от настроек олицетворения, будет использоваться либо удостоверение пула приложений, либо учетная запись анонимного пользователя сайта. (по умолчанию это сетевая служба для пула приложений и IUSR_machinename для анонимной учетной записи)
Вам не нужно назначать разрешения IIS_WPG для диска в любой момент, поскольку это учетная запись группы, в которой находится рабочий процесс пула приложений.
Вот короткое видео, посвященное безопасности IIS . Он ориентирован на IIS7,