Auf einem Windows Server 2012 VPS sollen Gameserver und 2 Seiten mit PHP gehostet werden: Ein kleines Mybb Forum und eine Wordpress Seite. Beide sollen isoliert voneinander sein, sodass z.B. bei einer Sicherheitslücke in Wordpress nicht auf das Mybb Forum zugegriffen werden kann, sondern maximal auf die Wordpress Dateien.
Ich habe bis jetzt gemacht:
Je eine eigene Seite mit eigenem PHP Anwendungspool im IIS angelegt
Jede seite hat ihre eigene php.ini wo ich folgendes hinzugefügt hab:
PHP-Code:
Nur normale Dateien für include
allow_url_include OFF
Gefährliche Funktionen
disable_functions 
systemexecshell_execpopenproc_openpassthru
In Ordner isolieren
open_basedir 
"C:\inetpub\wwwroot\wordpress" 
Nun dachte ich es wäre gut wenn noch jede Seite unter einem eigenen Benutzer laufen würde, der nur auf den jeweiligen Ordner Zugriff hat und sonst auf nichts um es 100% zu isolieren. Ich wollte es erst über Rechtsklick, Eigenschaften, Sicherheit machen. Könnte ich da dann einfach sagen z.B. bei Wordpress lege ich einen normalen Windowsbenutzer mit Name Wordpress an, auf C mache ich bei Zugriff alles verweigern (lesen, schreiben ausführen etc) und nur bei C:\inetpub\wwwroot\wordpress volle Rechte, sodass der Benutzer isoliert ist?

Ich habe gelesen, dass man es auch über xml in der Datei Mainfest.xml machen kann
Nur wo finde ich diese Mainfest.xml? Und wenn ich z.B. diese Zeile einfüge:
HTML-Code:
<setAcl path=”MyApp” setAclAccess=”ReadAndExecute, Write” setAclUser=”Foo” />
Hat der Benutzer dann automatisch auf alles andere außer MyApp keinen Zugriff?

Kann ich auch einfach im IIS in den Anwendungspool Einstellungen unter Identität auswählen, dass ich ein benutzerdefiniertes Konto möchte? Fragt er mich dann bei jedem Start des Servers das Passwort ab (wäre nicht so gut) oder speichert er das? Bringt die Identität bei PHP überhaupt etwas oder ist die nur für ASP.NET (haben wir nicht)?

Ich hoffe ihr kennt euch mit IIS aus und jemand kann mir da ein bisschen Licht ins dunkle bringen!