Tohle se právě pomocí proxy řeší. Jsou dva scénáře:

1) Transparentní proxy - v tomto případě se proxy u klientů nikde nenastavuje a řízení přístupu se děje pomocí ACL postavených podle IP adres (nebo jejicj rozsahu). Podle mě ideální řešení (pokud tedy nemáte v práci uživatele, kteří mají právo změnit IP adresu a umí to - já to mám vyřešeno tak, že uživatelé IP adresy měnit nemohou - jednak mají "natvrdo" DHCP a jednak mají jen User privilegia).

2) "klasická" proxy s NTLM autentikací - v tomto případě myslím není možno používat trasparentní proxy (nejsem si jist, už jsem to dlouho nestudoval), a uživatel musí mít nastaveno používání proxy v prohlížeči a autentizuje se svým doménovým jménem. Podle této autentizace se pak buď povolí nebo nepovolí přístup k webu.

Jednoduše řečeno: řešení je ve vynuceném použití proxy a filtrování přímo na ní, bez ní to fungovat nesmí.