<authentication mode="Windows"></authentication>
    <roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" />
    <authorization>
      <allow roles="MyDomain\MyGroup" />
      <deny users="*" />
      <deny users="?" />
    </authorization>

或使用[Authorize()]属性(甚至使用自定义Authorize属性)来装饰控制器基类,

[AdminOnly]
public class BaseController : Controller{}

问题是：他们是替代的和等同的方法吗？我应该总是使用一种方法而不是另一种方法？我应该记住哪些要素？