Se você definir as configurações de autenticação anônima do seu site para usar a identidade do pool de aplicativos, só precisará conceder o acesso à identidade do pool de aplicativos, a menos que tenha uma seção do site que não use autenticação anônima. para também conceder acesso aos usuários autenticados. Eu recomendo essa configuração. É animador não ter que gerenciar uma conta de identidade do pool de aplicativos, além de uma conta anônima.
Se você não estiver gravando no disco, apenas listar / ler é tudo o que é necessário. Se você precisar gravar alguma coisa no disco, também precisará conceder permissões de gravação.
Para o nº 3, se for apenas um servidor, você poderá fazê-lo a partir das permissões do Gerenciador do IIS e do NTFS. Se você planeja fazer um script para vários servidores, avise-nos e poderemos fornecer mais detalhes.