Ah oui je vois. Selon ce que tu veux faire, tu n'as même pas besoin de ISA.
Chez nous, on utilise un Squid également. Comme on a mis toute la bureautique sous Metaframe, il a bien fallu pouvoir filtrer les autorisations d'accès par groupes AD, et plus par IP.
Pour faire ça, on a créé deux GPO : une qui s'appelle "Accès Internet Ouvert", l'autre "Accès Internet fermé". Pour la première, on inscrit le proxy squid dans le paramétrage IE, et on applique la stratégie à un groupe autorisé à accéder à internet. Dans la deuxième GPO, on colle un proxy bidon, et on applique la GPO à tout le monde SAUF le groupe autorisé. Là-dessus, on empêche bien entendu l'accès à l'onglet Connexion de IE pour que les utilisateurs ne modifient pas à la mimine.
Une solution de ce genre te suffirait ?