Не совсем понял я что ты имел ввиду по дочерний сервер иса, а точнее функционал использования, опиши я тебе помогу! По поводу настройки всх компов, если твои юзеры будут использовать только браузер для инета ну тоесть, им кроме http ftp ну и с шифрованием ни чего не надо, тогда все делается в ДХЦП, помнишь как wpad запись настраивается, ну вот точно также настраиваешь и на сквид, только надо будет файл автоматической настройки сделать и выдать в сеть либо по ftp без авторизации либо проще по HTTP это будет несложно сделать через апач, в АД через ГПО всем выставишь параметр в iexplorer чтобы стояла галочка автоматическое определение параметров, да хотя и без этого можно обойтись, если есть ГПО, параметры прокси можно выставить и так, там есть эта настройка, сквид настроишь через ауинтификацию ntlmssp, не используй просто ntlm, так как логины и пароли летят без шифрования, сам понимаешь чем это грозит, ntlmssp шифрует их base64, но на этом все, все остальное, например какая нить прога ходящая в инет, уже обломиться, и тебе прийдется открывать для машины ип и порт, по которой прога работает, IPtables умеет только локально распозновать UID и GID, например пользователи сидят у тебя на тонких клиентах, в терминале ну вообщем у них там работа, то на этом же сервер настраиваешь уже выход в инет по учетками пользователей, потому как они находятся на этом сервере и фаервол понимает кто сидит, тоже к стати решение не плохое, и отказоустойчивое потому как если сервер терминалов развернуть в облаках на двух кластерах, ладно я не об этом, ну воообще вот так в кратце)))