Почему авторизация IIS не запрещает доступ к группам пользователей

У меня есть сайт, размещенный на IIS7. Сайт использует Flask с wfastcgi, что актуально. Это не публично, поэтому я пытаюсь использовать авторизацию Windows, чтобы заблокировать группы пользователей, к которым я не хочу иметь доступ, поэтому мой web.config установлен так:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <handlers>
            <add name="FlaskHandler" path="*" verb="*" modules="FastCgiModule" scriptProcessor="C:\Python34\python.exe|C:\inetpub\wwwroot\mysite\wfastcgi.py" resourceType="Unspecified" />
        </handlers>
        <security>
            <authorization>
                <add accessType="Deny" users="?" />
                <add accessType="Deny" users="GroupName" />
                <add accessType="Allow" users="*" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

Это, кажется, не имеет никакого эффекта; пользователи в группе AD GroupName могут по-прежнему загружать сайт в обычном режиме. Я пробовал с и без следующего <add accessType="Allow" users="*" /> линия.

Что я здесь не так делаю?