AspNetWindowsTokenRoleProvider, не работающий правильно на аутентификацию Windows в ASP.NET

Часть Вашего результата - то, потому что некоторые группы, которым принадлежит пользователь, являются членами других групп. Полный список групп пользователя будет включать все группы, пользователь принадлежит, оба прямо или косвенно через членство в других группах, которые являются также участниками.

Список будет также включать встроенные группы, которые обычно скрыты от собственных административных средств по умолчанию.

Ваш лучший выбор состоит в том, чтобы иметь хранилище приложения основной список групп, которые Вы хотите, чтобы Ваше приложение видело, или список групп, которые Вы хотите, чтобы Ваше приложение проигнорировало (или включать список или исключить список). Затем, когда Вы задерживаете роли определенного пользователя, просто выдерживаете сравнение, это к настроенному исключает или включает список и отфильтровывает нежелательные результаты.

Если Вы хотите более легкий путь, существует AD ролевой поставщик с открытым исходным кодом, законченный в codeproject, который уже имеет, поддержка и исключает и включает списки. Это также имеет другие хорошие функции как дополнительное кэширование, которое ДЕЙСТВИТЕЛЬНО ускорит Ваше приложение. Сборка - в AD ролевом поставщике работает очень плохо.

Вы, возможно, должны были бы присвоить полномочия веб-сайта конкретно группам, которые Вы хотите перечислить.