Атрибут авторизации и узел авторизации в web.config

Я знаю, что могу ограничить доступ к ASP Приложение .NET MVC 3, использующее тег авторизации в web.config

   <authentication mode="Windows"></authentication>
    <roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider" />
    <authorization>
      <allow roles="MyDomain\MyGroup" />
      <deny users="*" />
      <deny users="?" />
    </authorization>

или украшающее базовый класс контроллера атрибутом [Authorize ()] (или даже настраиваемым атрибутом Authorize)

[AdminOnly]
public class BaseController : Controller{}

Вопрос: являются ли они альтернативными и эквивалентные подходы? Должен ли я всегда использовать один подход, а не другой? Какие элементы мне следует помнить?