局域网内如何设置部分用户只能访问内网不能访问外网

公司安全策略有要求，某些员工的某些电脑仅能访问内网而不能访问外网，如果不在路由器或者交换机设置的话，还有什么办法能在微软自带的软件中进行设置？例如AD行吗？