Microsoft TMG 2010 Sp1 переопределить, если аутентифицирован?

У меня есть сервер TMG 2010 с пакетом обновления 1 (SP1), работающий на Server 2008 R2 в конфигурации с одним сетевым адаптером - еще не запущен.

Я буду разрешать доступ в Интернет тремя способами:

1. Одним из методов является использование TMG в качестве шлюза по умолчанию для нашей сети, чтобы устройства, не поддерживающие прокси-сервер для веб-трафика, могли по-прежнему получать доступ к сети (хотя и отфильтрованные).
2. другой использует TMG в качестве анонимного прокси для отдельного домена / гостевых компьютеров, у которых нет учетных записей в нашем основном домене
3. Другой метод заключается в использовании прокси-сервера для проверки подлинности клиентов, чтобы легко отследить, куда и куда пошел пользователь.

Mgmt хочет разрешить сотрудникам отменять ограничения доступа, если они проходят проверку подлинности (чтобы мы могли отслеживать, кто куда пошел), чтобы люди могли выполнять свои обязанности без вмешательства ИТ, но если они злоупотребляют этим, мы можем отслеживать это.

Я попытался создать два правила веб-доступа в TMG: одно запрещает доступ, но разрешает переопределение для соответствующей группы AD, другое ниже того, которое запрещает и не разрешает переопределение для "всех пользователей". Проблема в том, что даже если пользователь аутентифицирован, он сопоставляет запрос с правилом без переопределения; как только я отключу правило, они могут переопределить.

Любые идеи о том, как разрешить переопределение, только если пользователь авторизован?