Приветствую.
Имеется сервер на Win 2008 R2 на котором хостятся сайты на IIS 7.5.
Товарищ просит разместить его проект на сервере.
Интересует вопрос, как правильно установить ограничения безопасности, чтобы скрипты с данного сайта не могли читать структуру каталогов (и сами файлы) как на системном диске, та к и на диске с данными?
По умолчанию пулу назначается ApplicationPoolIdentity, позволяющая, например, получить список файлов в C:\Windows.
Правильно ли я понимаю, что нужно создать отдельного Windows пользователя, которому дать права на чтение / изменении только папки с сайтом? Что еще необходимо сделать?

Спасибо.

Уважаемый bazile, большое спасибо за столь подробный ответ.
В общем то получилось, но не совсем так, как нужно.
Дело в том, что пользователи из IIS AppPool состоят в группе Users, которая по умолчанию имеет доступ на чтение на все диски компьютера (в том числе частично на системный). Вследствии чего и Application Pool имеет доступ на чтение ко всему, что ему в явном виде НЕ запрещено (а это могут быть бэекапы или файлы других сайтов).
Я пытался создать отдельного пользователя, не включенного в группу Users, но при присваивании его пулу получал ошибку
Bad Data. (Exception from HRESULT: 0x80090005)
Подозреваю, это связано с тем, что у нового пользователя нет доступа к нужным разделам системного диска.
Как быть в таком случае? Может быть просто нужно группе Users запретить доступ на все диски, кроме системного?
Спасибо!

И что еще интересно.
Если я отбираю (НЕ запрещаю) у группы Users права на просмотр/чтение файлов в корневой папке сайта и даю эти права пользователю IIS AppPool\NAME, то сайт не стартует с ошибкой

401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.

Как с этим бороться?

Уважаемый bazile и другие участники форума!
Возможно, у кого-то есть ответ?
Спасибо!

bazile, спасибо еще раз.
Проблема с ошибкой Bad Data решилась: дело в том, что я импортировал applicationHost.config с другого сервера, но при этом не перенес ключи шифрования. Сделал, как описывали здесь: http://serverfault.com/questions/230934/iis-7-5-encryption-keys-and-hresult-0x80090005 - теперь ошибки нет и я без проблем запускаю пул от иного пользователя.

Но проблема с папками так и осталась.
По порядку, как и что делал:

1) Создал пользователя TestUser1 и задал ему пароль.
2) Присвоил этого пользователя ApplicationPool'у.
3) Удалил участие пользователя в группе Users (т.е. пользователь НЕ является участником какой-либо группы): http://SSMaker.ru/45a81729/
4) Попытался открыть сайт и получил сообщение, что пользователь не имеет прав записи на C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files, права на запись именно в эту папку выдал.
5) Сайт запустился и никаких проблем нет.
6) Пытаюсь данным пользователем получить список папок каталога D:\Sites: Directory.GetDirectories(@"d:\sites") - и без проблем получаю, хотя данного пользователя в настройках безопасности нет: http://SSMaker.ru/25d509b7/

Помогите, пожалуйста, понять, что еще нужно сделать, чтобы пользователь имел доступ только к той папке, в которой находится сайт? Есть, наверное, вариант принудительно запретить доступ на все диски и папки, а разрешить только на нужной. Но мне кажется это не самый верный вариант (например, добавится еще диск - по умолчанию тогда пользователь будет иметь на него доступ)...

Спасибо!

Появилась еще мысль, что в группу "Пользователи" автоматически входят все авторизованные пользователи: http://SSMaker.ru/a796c17d/ - т.е. каждый авторизованный пользователь входит в группу Users (которой дан доступ на D:\Sites)

Но еще раз повторюсь.

Если я отбираю (НЕ запрещаю) права у группы Users на папку D:\Sites, то сайты, расположенные внутри нее, перестают работать с ошибкой 401 (у этих сайтов AppPoolIdentity).
При этом пользователи из группы IIS_IUSRS и пользователь из пула каждого сайта (IIS AppPool\POOLNAME) имеют права на чтение / запись.
Пытался с помощью ProcessMonitor отловить попытку доступа, но в нем ничего толком не понял: в основном все события SUCCESS...

hVostt, спасибо, но, к сожалению, эффект тот же:
http://ssmaker.ru/1f217d20/
http://ssmaker.ru/76d95bf9/
Имеем при обращении к сайту:
http://ssmaker.ru/9d5f47e5/

Специально ничего не мудрил - как win 2008 r2 поставил - так никаких изменений в безопасности не было.

Да, без деплоймента - по ftp

hVostt, bazile, огромное спасибо за желание помочь.
Кажется, получилось.
> для верности можно дать еще прав IUSR (только чтение), незнаю зачем нужно, но где-то рекомендуют.
Как оказалось - это самое важное! Пока не дал этот доступ - так и оставалась 401 ошибка.

Итого, для успешно работы нужно:

1 Вариант:
- Доступ на чтение для группы Users (и все, больше ничего!)

2 Вариант (если не хотим, чтобы все Users могли читать):
- Доступ на чтение IUSR
- Доступ на чтение IIS AppPool\PoolName (отображается БЕЗ IIS AppPool).

Во втором варианте IIS AppPool\PoolName можно заменить на IIS_IUSRS, но тогда и другие пулы получат доступ к этому каталогу.