Existem alguns métodos diferentes para isso. Como esse sistema não está em um domínio, você não pode aproveitar a segurança integrada como o AD.
Dito isso, se os sites hospedarem principalmente dados estáticos, você poderá criar duas cópias do site, com dois IPs diferentes, e simplesmente configurar a autenticação para o site público, deixando a privacidade aberta.
Então, na verdade, você tem um site PUBLIC e um site PRIVATE, mas ambos apontam para o mesmo diretório raiz. Essa é a maneira mais rápida e fácil, pois você tem um mecanismo de autenticação fácil, como o Active Directory, para filtrar solicitações.