Bom, não me devo ter explicado bem, o acesso à internet nada tem a ver com o IE no exemplo que eu dei.
Mais, com o exemplo que dei (dos grupos na AD) podes controlar além de acessos a internet, acessos remotos entre outros e tudo de uma forma centralizada.
Basicamente, boqueias uma conta, bye bye todos os acessos.
Isto naturalmente não tem a ver com a AD em si, mas com a interligação com a AD (como com o ISA como referiste) com outros equipamentos.
Se forem poucas máquinas, sim, essa é a maneira mais fácil, bloquear tudo e ir abrindo à medida que se precisa.
Leva é a um problema giro, o user muda de pc para outro que tem net e voilá, internet.
Com muitos utilizadores, essa situação é uma miséria quer para manter, quer para fazer o devido efeito.
Pessoalmente o que faria numa situação onde fosse dificil de controlar o acesso à internet seria instalar um proxy e configurar por utilizador.