Настройте веб-приложение для внешнего доступа (IIS7), позволяя только определенным пользователям через группу AD. Всем пользователям нужен внутренний доступ

У нас есть веб-приложение, работающее на IIS7 (Server 2008 R2). Теперь мне нужно разрешить внешний доступ с сертификатом SSL, чтобы некоторые пользователи (например, владелец компании) могли использовать его удаленно без VPN. Сначала они хотят развернуть внешний доступ только к этим конкретным пользователям (думая: запрос учетных данных Windows), НО каждому по-прежнему потребуется доступ внутренне (HTTP), без запроса.

У меня установлен сертификат SSL на сервере и настроен публичный DNS. Я пытался выяснить, как работает аутентификация / авторизация. Я думал, что мне нужно отключить Anonymous authn и установить Windows authn, а затем я продолжаю возвращаться к "Авторизации URL" в своем исследовании для настройки группы; однако, когда я попробовал URL authz, (удалил разрешить все, добавил правило разрешения для специальной группы), он сломал сайт внутренне (403.2 Запрещено, я полагаю, что было). Я подумал, что, возможно, подойдет установка второго сайта в IIS, указывающего на ту же программу, но точно такая же ситуация произошла (и снова с новым пулом приложений, просто для удовольствия).

Поэтому я думаю, что мой вопрос, как бы вы это сделали: разрешить внешний доступ, ограниченный пользователями в определенной группе AD, и в то же время разрешить внутренний доступ без запроса учетных данных?

Как разделить требования внешней HTTPS и внутренней HTTP-авторизации? Нужно ли будет просто скопировать все содержимое приложения в проводнике Windows в новую папку и создать из этого внешний сайт? Является ли проверка подлинности Windows правильным вариантом для этого?

Я сталкивался с этим, что относится к созданию пользовательского модуля. Хотя это звучит как решение, я не знаком с ним, и мне просто интересно, есть ли более простой способ заставить его работать: http://forums.iis.net/p/1182792/2000775.aspx

Спасибо!