Siempre me ha dado cosa ver que se usan usuarios con todos los privilegios en las aplicaciones de ASP .Net en las que he trabajado. Todas menos una y con la cual aprendí que se podían restringir los permisos del usuario con el que trabaja la aplicación, o mejor aún, cambiarlo por uno especifíco que tenga ya los permisos que queremos.
En esa empresa se usaba un documento que no se de donde obtuvieron y que no he vuelto a ver por ningún lado, el cual se llamaba SecNet.pdf
La parte que indicaba cuales eran los permisos mínimos que necesitaba una cuenta para ejecutar una aplicación de Asp.Net la acabo de encontrar en esta liga.http://msdn.microsoft.com/en-us/library/Aa508562.
Once and again, básicamente para que no se me olvide.