Eu sei que o firewall da AKER faz exatamente isso.
Já vi esse firewall em órgãos públicos.
E sei que o firewall da AKER roda o squid.
Então é instalado um programa de autenticação nas máquinas clientes, quando o usuário loga no domínio esse programa guarda o nome e senha do usuário do domínio. Na verdade esse programinha se autentica no firewall usando o nome e senha do usuário que logou no domínio.
À partir daí o controle no proxy é feito por grupos de usuário do domínio.
Dei uma pesquisada e vi que existe um programinha chamado IDENT, que faz mais ou menos a mesma coisa que esse cliente da AKER, ou seja, ele informa para o squid o nome e senha do usuário, porém tem que criar os usuários no squid, pelo menos nos exemplos que vi.....
Se de repente der para usar esse IDENT integrado ao domínio acho que já resolve.