No IIS6 e IIS7, o equivalente para ASP.NET ao usuário ASPNET é o usuário de identidade do pool de aplicativos. Por padrão, é o SERVIÇO DE REDE no IIS7 e a identidade do Pool de Aplicativos no IIS 7.5+. Você pode conceder permissões de usuário para o disco e ele funcionará.
A maneira 'melhor' é criar usuários personalizados por pool de aplicativos e atribuir a eles permissão para o disco, de modo que os sites fiquem isolados uns dos outros e para que outros aplicativos no servidor que usam o Serviço de Rede não possam acessar o conteúdo dos seus sites. No entanto, esse é um julgamento que você precisa fazer na sua situação.
O outro usuário que entra em jogo é o usuário anônimo ou autenticado do seu site. Isso é definido na autenticação - > seção anônima do seu site. No IIS7, é recomendável configurar isso para usar a identidade do pool de aplicativos, contanto que você tenha apenas um site por pool ou desde que cada site no pool de aplicativos confie muito um no outro. Então você só precisa manter 1 usuário no disco.