Блокировка интернета у непривилегированных пользователей

[unnochee]

В общем задача вроде как тривиальная, ноу меня возникли трудности.
Есть  windows server 2008 R2 на нем установлен терминальный сервер лицензирования. Добавил 20 пользователей. Нужно заблокировать им доступ интернет, а у администратора что бы работал. 
 

[dimokkk]

Хорошо бы понять как вообще организован доступ в Интеренет. Через прокси или напрямую?
Подразумевается, что настройка ведется именно для терминального сервера? Т.е. с терминального сервера выход в интеренет должен доступен только админу?

[unnochee]

Доступ организован напрямую,
доступ должен быть доступен админу и еще одному пользователю.

[itpro]

В заданных условиях это сделать достаточно сложно.
Самый простой способ разграничить доступ - поставить на отдельной машине прокси сервер с NTLM авторизацией и раздавать доступ в инет через группы AD.

Есть, конечно, вариант с созданием политики, запрещающей пользователям запуск любых программ, кроме заданных (технологии AppLocker ), или Software Restriction Policy, что больше понравится),  а в Explorer настроить по статье Как запретить или разрешить доступ к определенным сайтам в Internet Explorer. Но такой вариант ограничения доступа не очень удобен, и при желании пользователь может его обойти.

[dimokkk]

Правильнее всего было бы поставить отдельную проксю и раздавать доступ на ней.

Надежность всех остальных способом ИМХО зависит от подкованности ваших пользователей.
Можно политикой задать всем пользователям неправильные настройки IE и запретить их менять (на нужных пользователей политика не будет распространяться) и запретить юзерам запускать другие браузеры (не спасет от запуска portable браузера с переименованным исполняемым файлом).