Eu colocaria mais duas coisas.

1) Se usar o Firewall do windows , o FTP só vai funcionar legal se voce incluir a "aplicação" C:\WINDOWS\system32\inetsrv\inetinfo.exe .. se voce inclui a porta 20/21, não funiciona porque o ftp usa portas dinamicas na transferencia de dados.

2) O FTP usa dois tipos de configuração , por isolamento de usuario e modo nornal.
O modo isolamento de usuário é mais seguro , entretanto mais limitado, dificil de criar dois usuarios para o mesmo diretorio por exemplo

o modo normal é muito inseguro, mas tenho uma solução:

Crie uma pasta num caminho bem isolado, outro disco , fora do windows e dos sites. Crie um grupo ftp e de permissões para o sistema / Administradores e ao grupo FTP , com permissão de leitura somente.
Crie os usuarios normalmente , incluindo eles no grupo e crie um diretório virtual no FTP com o mesmo nome do usuario .. este sim , com direito de gravação.
Se alguem cair no diretório RAIZ não grava nada , e ao listar não vê os diretórios virtuais, precisaria dar cd para o mesmo …
se bem que não conseguiria ir para outro cliente , pois o NTFS não deixaria faze-lo