¿Tienen que estar en red local pero no en internet?

Si la respuestas es no, simplemente desconecta el cable.

Sino, deberas configurar algun aparato intermedio donde vaya su conexion para anularla (En un siwtch podras desactivar su entrada y en un router tambien o almenos cambiar la tabla de enrutamiento para que no salga a internet).

Un saludo, si tienes mas dudas comenta mas datos y miramos...

Si es siempre un mismo PC el que tienes que capar, es decir, siempre tiene la misma IP, casi todos los routers tienen o listas ACL para redirección de tráfico o algún tipo de filtros que emulan estas listas. De esta forma puedes controlar fácilmente quien va donde.

En los routers de andar por casa le puedes indicar en una tabla las direcciones MAC aceptadas o rechazadas para acceso a internet, total si no salen a internet sino que pasan por un hub o switch la intranet no debería tener problemas para su acceso.
Has probado a ver si puedes poner otro puerto diferente al 80 como 8080 si es que te deja esa opción.

Lo más comodo y veo que estas en vías de implementarlo es el proxy donde puedes establecer un control más detallado de entrada / salida, aparte de poder tener un historial de conexiones que nunca viene mal.

O bien le plantas un ISA server o como alternativa las veces que he buscado algo por la opción linux lo mejor recomendado que he encontrado es SQUID
http://es.wikipedia.org/wiki/Squid un calamar con muchas opciones

Lo de meter virus en el ordenador del trabajo es algo relativamente habitual, no parecen darse cuenta que para petar un equipo ya tienen el de su casa, aunque más que internet la fuente de entrada suele ser el correo, sin contar el spam y todo eso, Como son como niños aplicales algún control parental jajaja no se si el explorer en sus últimas versiones te dejará modificar esto, al menos si ponerles una contraseña y si no son administradores de la máquina pues mejor para que no se puedan instalar otros navegadores alternativos.

En la actualidad la cosa es un tema serio ya que se va diversificando:

- Antivirus.
- Spyware.
- Antirootkit
- Malware

no se y cuantas palabrajas puedas encontrar pero vamos que si es por bajo presupuesto yo me pondría a estudiar lo de squid pero ya para implantarlo cuanto antes y un buen control para filtrar anexos de correo de esos que se mandan con frecuencia, bloqueando extensiones no deseadas.

Así por lo pronto pues buscaría a ver si en el editor de políticas del equipo le puedes capar el explorer, en caso contrario eliminale del escritorio y del menú cualquier acceso al mismo y simplemente dejale un acceso directo a la intranet que deba utilizar, esto deja algunas otras posibilidades pero ya dependen de los conocimientos del usuario. Ya sabes que también puedes dar permisos a un archivo para que si tenga acceso para arrancarlo y prohibirle en su perfil que arranque otros....no es una solución perfecta pero puede valer.
Otra cosa es que puede que hayan establecido unas políticas en el dominio que al validarse se impongan a cualquiera de las definidas localmente pero eso lo mejor es hacer la prueba.

Solución rápida y sencilla.
Restringe todo lo que quieras desde gpedit.msc sobre el Internet Explorer, si no tienen permisos de Administrador no pueden mover nada.
Ejemplo, que no se muestre la barra de direcciones ni la de búsqueda, y así no pueden escribir la dirección de la página que quieren abrir. Les dejas el acceso directo a la intranet y listo, no te complicas y resuelves tu problema de forma rápida, hacerlo te tomará 5 minutos, además de también puedes bloquear que se ejecuten ciertos archivos ejecutables, en caso de que lleven un navegador "portátil" , simplemente añadiendo los .exe de dichos programas.

C Ya n Thanx...!!

Si que existe si. Te permite editar politicas de grupo a nivel local.