[Dirk Diggler]

Цитата Moonlight Dragon:

Возможно есть способ свести пользователей с запрещённым доступом в одну группу, и уже ей на уровне ActiveDirectory или домена задать права »

нет, этого нельзя. Можно лишь настроить фильтры входа на внутреннем интерфейсе(или выхода на внешнем, если NAT будет на модеме) - типа этому IP можно наружу, тому - нельзя. Фильтры настраиваются в оснастке "Маршрутизация и удаленный доступ".

Цитата Moonlight Dragon:

Но защитить от смены IP уже не получится при таком варианте, если я правильно понял? »

Разумеется. Имхо вообще лучше сделать резервирование DHCP.
Если же допускается использование сторонних продуктов, рекомендую разобраться и настроить 3proxy + плагин для аутентификации в AD. На оф. сайте подробный мануал. И вообще, там, где это возможно - надо обходиться без НАТа

Цитата Moonlight Dragon:

серверная операционная система должна иметь какие-то инструменты для этого »

ISA есть именно такой инструмент серверной системы.