Estou com um pouco de vergonha de admitir que já fiz isso antes, mas da maneira "mais barata" que encontrei para fazer isso (supondo que o usuário não possa instalar ou usar outro software de navegador da Web de terceiros) é usar a Diretiva de Grupo para configurar o Internet Explorer para usar um falso servidor proxy HTTP / HTTPS (ou seja, um IP / porta que não responde - de preferência um que realmente rejeita a tentativa de conexão TCP). Eu coloquei sites "permitidos" na lista de proxy ignorados.
É uma maneira muito "barata" de fazer o que você está procurando e totalmente fácil de ignorar se o usuário puder instalar ou usar software de navegador de terceiros.
Uma maneira "simples" de fazer isso seria forçar o HTTP / HTTPS de saída por meio de um servidor proxy que permita ACLs por usuário. O Squid com autenticação NTLM pode fazer isso sem custo de licenciamento de software e pode fornecer uma experiência de autenticação transparente bastante agradável para máquinas Windows que acessam o domínio acessando sites da Web por meio dele. Você pode executar o Squid no Windows se não for capaz de executá-lo no Linux. O Squid no Windows com autenticação baseada no Active Directory é bastante fácil de configurar.