Tudo bem.
Desde que as contas que realmente precisam de permissões para o conteúdo (IUSR e identidades do pool de aplicativos) as possuam, você pode remover a concessão para o grupo Users .
Eu fiz uma pergunta aqui: nova instalação do windows 2008 R2 ... tendo problemas de permissões (todo mundo tem acesso) ontem à noite sobre não poder limitar as permissões para minhas pastas da web. Acontece que foi porque quando eu criei uma pasta wwwroot na minha unidade d: \ (não a padrão c: \ inetpub \ wwwroot) ela adicionou meu grupo% machinename% \ users com permissões "especiais" (assim como read / executar). Eu nunca poderia dizer quais eram as permissões "especiais" (tanto quanto ler, escrever etc). Portanto, removi todo o acesso ao meu d: \ inetpub \ wwwroot para% machinename% \ users e consegui limitar o acesso a IUSR e IIS_IUSRS da maneira que desejava.
Não sei o suficiente sobre as identidades do pool de aplicativos, etc., para saber se isso pode causar um problema no futuro. IE, eu não sei se a identidade do pool de aplicativos depende do grupo% machinename% \ users para fazer certas coisas. A remoção de permissões para esse grupo forçará a representação, causará outros problemas?