Uso de la autenticación de Windows con grupos de directorio activo como roles

He leído varias preguntas sobre este tema, comoaquí, aquí, aquí yaquí; pero ninguno ha proporcionado una solución de trabajo en mi caso.

Lo que quiero hacer:

Implemente la autenticación de Windows para una aplicación web que solo es utilizada por nuestros propios empleados. De esta manera, no deberían necesitar iniciar sesión en la aplicación, pero ya deben estar autenticados por haber iniciado sesión en Windows.

Además, debo restringir ciertas áreas de la aplicación, en función de los grupos de seguridad de Active Directory a los que se puede asignar el usuario.

Así que quiero poder decorar Controladores / Acciones con

[Authorize(Roles="SomeRole")]

Lo que he intentado:

yo tengo

<authentication mode="Windows" />

en mi web.config. Y he añadido varias permutaciones de un<roleManager> Como se encuentra en algunos de los mensajes vinculados a arriba. Actualmente tengo este rol manager

<roleManager defaultProvider="WindowsProvider"
  enabled="true"
  cacheRolesInCookie="false">
      <providers>
        <add
          name="WindowsProvider"
          type="System.Web.Security.WindowsTokenRoleProvider" />
      </providers>
    </roleManager>

como se encuentra enesta enviar.

Como está, si decoro un controlador con[Authorize], Puedo acceder bien

Sin embargo:

Puedo ver en mi configuración de usuario en la red, que formo parte de un grupo de seguridad de AD llamado "IT". Pero si decoro el mismo controlador con[Authorize(Roles="IT")] Obtengo la pantalla en blanco que es servida por el servidor de desarrollo asp.net para un 401 no autorizado.Esto es inesperado. Creo que debería poder ver la página ya que estoy conectado a Windows y formo parte del grupo "IT".

Casi todo lo que encuentro sobre este tema hace que parezca muy simple lograr lo que estoy tratando de hacer, pero claramente me estoy perdiendo algo aquí.