IIS + zintegrowane uwierzytelnianie systemu Windows: czy uprawnienia do odczytu/wykonywania są bezpieczne dla uwierzytelnionych użytkowników?

Mam korporacyjną aplikację internetową, która zostanie zintegrowana z usługą logowania jednokrotnego (SSO) za pośrednictwem

Zintegrowane uwierzytelnianie systemu Windows
http://en.wikipedia.org/wiki/I ... ation
(IWA). SSO zapewnia tylko uwierzytelnianie (nie autoryzację). Ta aplikacja internetowa będzie obsługiwać autoryzację poprzez dedykowany moduł autoryzacji. Używamy usług IIS 6 w systemie Windows 2003.
Gdy użytkownik zostanie uwierzytelniony za pośrednictwem IWA, usługi IIS domyślnie uruchamiają stronę internetową w kontekście aktualnie zalogowanego użytkownika. Zwykle mamy obiekt grupy zabezpieczeń Active Directory, któremu przypisujemy uprawnienia do odczytu/wykonywania w katalogu serwisu WWW - każdy obiekt użytkownika, który członek tej przypisanej grupy zabezpieczeń może zobaczyć/uruchomić stronę internetową. Każdy użytkownik usługi AD, który pomyślnie uwierzytelnił się w usłudze AD, ale nie należy do tej grupy zabezpieczeń, otrzymuje protokół HTTP 401 (odmowa dostępu).
Jednak w tym projekcie nie chcemy obsługiwać dodawania/usuwania niestandardowych obiektów AD dla określonej grupy zabezpieczeń. Zamiast tego zdecydowaliśmy się nadać grupie Authenticated_Users uprawnienia do odczytu/wykonywania plików katalogu witryny. W ten sposób, jeśli możesz się uwierzytelnić, będziesz mógł domyślnie zobaczyć/wykonać żądanie strony.
To jest bezpieczne? Z punktu widzenia mojego zespołu jest bezpieczne, jeśli moduł autoryzacji w tej aplikacji internetowej wykonuje swoją pracę.
Czy ktoś inny to robi, czy masz inne podejście do zarządzania autoryzacją podczas korzystania ze zintegrowanego uwierzytelniania systemu Windows w usługach IIS?