cameron, напишите какие скрины Вам необходимы, сделаю все одним разом »
- текущих правил, с раскрытыми "+".
-скрин логгина с видимыми полями user name и result code при попытке подключения без FWC.
скрин раскрытых вкладок правила по которому пройдёт траффик.
-скрин логгина с видимыми полями user name и result code при попытке подключения с FWC.
скрин раскрытых вкладок правила по которому пройдёт траффик.

не совсем понятна, особенно не зная какая политика у нас в компании/направлении »
это не имеет особого значения, потому что ни TMG, ни что-то другое не позволит вам полностью ограничить пользователей, а вот проблем (как мы и видим) будет много. Эффективный способ - адм.санкции, по результатам ежемесячной обработки отчётов того же ISA/TMG Activity Monitor или им подобных.
Это стоит для компании дешевле, чем мышинная возня с урлсетами и фильтрами, с учётом того, что поднять дома SSL-VPN или SSH tunnel на TCP:443 может любой школьник по мануалам в интернете. а вы ничего с этим сделать не сможете, если не будуте инспектировать SSL траффик через подмену сертов, да и в таком случае (AFAIK!) есть варианты обхода.

Скрины
У пользователя test доступ в инет стандартный, т.е. без доступа к соц сетям, ютубом и файлобменникам
Без клиента-TMG инет не работает, обычная ошибка, типо убедитесь что адрес верный и т.д.

Обманул, разрешает правило Allow Internet Access - основное правило для выхода в инет
Скрин шоты добавил http://rghost.ru/57831001

Ну так нужно в разрешающих правилах TMG указывать не "всех пользователей", а "только авторизованных", или как там.
Я уже года 2 TMG не видел.

Если в IE все галочки снять, то разрешает правило 36, а оно пускает в инет по наличию группы Internet Users (группа которая дает стандартный инет, без соц.сетей, ютуба, файлобменников, сайтов подбора персонала и т.д.)

Видимо проблема у меня не тривиальная!

Есть у кого нибудь опыт настройки TMG сервера на аутентификацию Kerberos?