perdi o prazo da resposta?
Já resolveu?
AD é a solução, prática e segura, principalmente se teus usuários acessam a internet
cabe ao contratado mostrar os benefícios ou malefícios de uma decisão ruim, se ele quer separar as coisas ( dpto, nivel de segurança,arquivos privados corporativos)
com o domínio, terá mais liberdade e mais privacidade por usuário. e se o ambiente é windows há muita literatura e ferramentas disponíveis.
ou o velho método de autenticação pelo windows que permite que qualquer colaborador um pouco mais esperto navegue pelo que esta tentando se ocultar.
separar as vlans seria uma opção viável, mas a intranet deverá compartilhar o servidor, se alguem souber o ip de determinada maquina novamente navegará a vontade.
então registrar cada usuário é uma solução barata e muito segura, mesmo pq não terá como fazer um login oculto para tentar navergar em locais não permitidos