No meu aplicativo .NET MVC antigo, eu poderia habilitar a Autenticação do Windows no IIS e desativar o anônimo. Então na minhaweb.config arquivo eu só tinha que colocar isso:

<authorization> 
  <allow roles="Domain\MyADGroupToHaveAccess" />
  <deny users="*" /> 
</authorization> 

No .NET Core 2.0, isso não funcionará - ele nega o anônimo corretamente, mas autoriza todos os usuários, não importa o quê.

Se eu fizer isso:

[Authorize(Roles = "Domain\\MyADGroupToHaveAccess")]

no meuHomeController, funciona, mas não quero codificar essa configuração no meu projeto, pois é algo que precisa ser alterado para outros ambientes.

Como posso fazerweb.config trabalhar com a autorização do AD? Ou existe outra maneira de não codificar essa configuração no ASP.NET Core?