Dependendo da finalidade do servidor, eu evitaria o servidor FTP nativo do IIS em favor de um servidor de terceiros não vinculado ao sistema de autenticação do servidor. A principal vantagem aqui é que você pode proteger as contas, e quaisquer vulnerabilidades de segurança no servidor FTP ou na segurança do sistema de arquivos do Windows são relativamente desacopladas. Além disso, o processo de FTP de terceiros é um pouco menos privilegiado, já que não é um serviço principal fornecido pela Microsoft.
Um caso em que essa seria a solução preferida seria um servidor da Web IIS em que um usuário de cada departamento é responsável pela atualização do site do departamento. Um caso em que não seria a solução preferida seria quando todos os usuários da organização tivessem seu próprio espaço na Web. Nesse caso, as vantagens de usar o sistema central de diretórios provavelmente superariam a pequena vantagem de segurança.