Autenticação do Windows com IIS e grupos de domínio

Temos um aplicativo da Web (ASP.NET MVC) instalado no IIS paira um dos nossos clientes com Autenticação do Windows ativada.

A authentication está funcionando perfeitamente, mas o problema está no nível de autorização. O tipo de autorização é uma autorização baseada em function.

Então, temos três níveis de autorização: MISV_Administrator MISV_Normal MSIV_Readonlyly

Se criairmos esses grupos localmente na mesma máquina em que o IIS e o nosso aplicativo da Web são instalados e atribui-lhes users de domínio, então os users podem acessair nossa aplicação. Mas se criairmos esses mesmos grupos no diretório ativo como grupos globais de domínio e atribui os users a esses, em vez disso, agora os users recebem um erro de não autorização.

Tanto a máquina, o server de diretório ativo e o server IIS estão no mesmo domínio.

Então eu não entendo por que está funcionando localmente, mas não com o grupo global?