простейшее и легкое решение
для связки прокси и AD - и установки разграничение доступа по группам в AD
раньше юзал как обычно аунтификацию ntml + проверку по юзерах - входят ли они в определенную группу на AD
но это все шибко тяжеловесно - и не было необходимости в абсолютно жестком разграничении
сделал проще
на AD сделал раздачу настройки прокси всем на один порт
и тамже - определенной группе сделал раздачу прокси на другой порт
а на сквиде - разделил acl-ми - разрешение в зависимости от того на какой порт пришел запрос
в результате - тока у нужных юзеров стоит порт который порт с разрешением всего инета
у других - ограниченный порт прокси
мож баян - но простое и легкое решение