Интеграция IIS + Windows Аутентификация: безопасны ли разрешения на чтение / выполнение для Authenticated_Users?

У меня есть корпоративное веб-приложение, которое будет интегрировано со службой единого входа (SSO) через встроенную проверку подлинности Windows (IWA). Служба единого входа предоставляет только аутентификацию (не авторизацию). Это веб-приложение будет обрабатывать авторизацию через пользовательский модуль авторизации. Мы работаем с IIS 6 на Windows 2003.

Как только пользователь проходит аутентификацию через IWA, IIS по умолчанию запускает веб-страницу в контексте пользователя, вошедшего в систему. Поэтому обычно у нас есть объект группы безопасности Active Directory, которому мы назначаем разрешения на чтение / выполнение по каталогу веб-сайта - любой объект пользователя, который Член этой назначенной группы безопасности может видеть / выполнять веб-страницу. Любой пользователь AD, который успешно проходит аутентификацию в AD, но не принадлежит этой группе безопасности, получает HTTP 401 (доступ запрещен).

Однако для этого проекта мы не хотим, чтобы обслуживание добавлялось / удалялось AD User Objects для указанной группы безопасности. Вместо этого мы думаем назначить группе Authenticated_Users права на чтение / выполнение для файлов каталога веб-сайта. Таким образом, если вы можете аутентифицироваться, вы по умолчанию сможете видеть / выполнять запрос страницы.

Это безопасно? С точки зрения моей команды, это безопасно, пока модуль авторизации в этом веб-приложении выполняет свою работу.

Кто-то еще делает это или у вас есть другой подход к управлению авторизацией при использовании встроенной аутентификации Windows в IIS?