Еще бы неплохо указать на чем домен/роутер стоят. Если linux (samba, squid) то создаешь группу на самбе, включаешь туда людей, и пускаешь через сквиду только эту группу.

P.S. Уже думали, но может решили. Как запретить ходить на самбу, если не зашёл в домен. Чтобы люди могли работать только в домене?

Нужно ставить прокси.
Либо уровня приложения (squid или ISA), либо сеансового уровня (а-ля socks, например та же ISA, она умеет прозрачно народ аутентифицировать через firewall client)
может быть другие фаеры это реализуют, например kereo - хз.

Встроенными в твоем случае низзя.
Ты же не думаешь, что кто-то стал бы конкурировать на поле микрософта, будь в винде встроенный проксик/билинг, идущий "из коробки" и с хорошей функциональностью ?
Потому и появилась отдельная ISA, появился Winroute и т.п. софт.

Sabfear,
Читай внимательно вопрос. Не горячись.
Ему надо прикрутить доступ в инет для тех, кто в домене. С авторизацией по доменным аккаунтам.  Если найдешь, как такое сделать не прибегая к стороннему софту и ISA, то тебе народ памятник поставит.

Логично   Ты же будешь пялиться на логон-скрин Из него осла хрен запустишь.

Я тебе еще раз повторяю: забудь про ИСУ.
Напиши, как реализовать задачу встроенными средствами. "Из коробки" которые идут.
Если знаешь.

Мини-how-to.

Прокся в поставку Windows не входит. Но если не слушаешь умных людей и хочешь по№"?:?"№ться, вот тебе два варианта:

Аутентификация компьютеров:

На роутере поднимаешь туннельный правила IPSec требующие аутентификации по Kerberos. По два правила на каждого клиента (одно для исходящего трафа - на клиента, второе - для входящего трафа - с клиента).
Средствами RRAS запрещаешь прохождение пакетов из локалки в Internet и настраиваешь трансляцию адресов.
Через групповую политику спускаешь на клиентов туннельные правила IPSec (весь траф в Internet пускать в туннель на роутер, аутентификация Kerberos).

Вуаля - прямой трафик не пройдет,  заблокировано RRAS. Если кому надо - пожалуйста, проходи аутентификацию на контроллере домена, строй IPSec до сервера. Сервер вытащит трафик из туннеля и передаст в Inet.
Таким образом выход в сеть будет возможен только с компьютеров того же леса, что и роутер.

Аутентификация пользователей:

Заводишь на роутере ещё один интерфейс (можно Microsoft Loopback Adapter) и присваеваешь ему адрес RFC 1918, но другой чем в локалке (например 10.1.1.0/24 если в локалке 192.168.1.0/24).
Поднимаешь RRAS в режиме VPN, блокируешь прямой траф из локальки в интернет , настраиваешь трасляцию из 10.1.1.0/24 в Internet.
Настраиваешь на клиентах VPN-соединение.

Вуаля - когда клиенту надо в Inet, он коннектится к серверу VPN используя доменное имя пользователя\пароль, получает адрес из 10.1.1.0/24, которой можно в Internet и браузит в своё удовольствие.

offtopic,
Браво !  
Вот это изврат  :funny:  Респект.