Вообщем, задача старая: запретить доступ с недоменных компьютеров в корпоративную сеть, с возможностью формирования списка исключений. Или хотя бы запретить просто выход в интернет.

Squid + Kerberos не подошёл: как пример, обновление различных приложений в фоне не работает, другими словами, если что-то запускается не под доменным пользователем, то выход в интернет у этого "что-то" отсутствует. Также непонятно как быть с ресурсами, которые добавляются в исключения прокси(в IE).

RADIUS-сервер не подходит как минимум из-за необходимости использовать оборудование, отвечающее определённым требованиям.

Сервер политики сети(NPS) - возможно ли его использование не в качестве RADIUS-сервера? Где может можно почитать об этом с какими-нибудь практическими примерами? Может ли он "в одиночку" решить задачу? Что с поддержкой XP - без агента защиты сети? Спасибо.

Пишу поздно ночью, надеюсь, что не очень сумбурно.

запретить доступ с недоменных компьютеров в корпоративную сеть »
чтобы недоменный компьютер стал доменным ему нужно сначала попасть в корпоративную сеть :-)

Или хотя бы запретить просто выход в интернет »
берёте из домена список хостов и грузите его в разрешающее правило шлюза - для небольшой сети вполне себе адекватное решение

обновление различных приложений в фоне не работает, другими словами, если что-то запускается не под доменным пользователем, то выход в интернет у этого "что-то" отсутствует »
Это называется бардак и анархия.
Обновления должен качать администратор и публиковать в локалке.
Для обновления каких-то экзотических приложений можно завести специальную доменную учётку.