[IIS] Hoe beveilig ik dit?

Gezocht op Google, in GoT, MSKB, in MCSE-boeken, enz., maar ik kom er niet uit.

Netwerk: Domain met NT4 en W2k-servers, IIS4 en IIS5 beschikbaar. Clients: variërend van W95 t/m WXP.

We hebben een intranet en dat wil ik voor alle users in het LAN als startpagina instellen. Het moet echter ook van buitenaf te benaderen zijn, maar alleen voor domain users. Het is de bedoeling dat niemand binnen het LAN een username/password hoeft op te geven, omdat het intranet startpagina wordt en het een beetje irritant is als je telkens als je gaat internetten eerst moet inloggen.

Ik heb eerst het intranet op een server gezet en daarop de groep domain users leesrechten gegeven, maar hoe je het ook wendt of keert, je moet je altijd eerst aanmelden voordat je erbij mag.

SSL heb ik geprobeerd, maar ook daarbij moet je je aanmelden.

Is er een mogelijkheid om het intranet van binnenuit voor de groep domain users vrij toegankelijk te maken (evt. met beveiliging maar) ZONDER enige vorm van actieve aanmelding door de gebruiker, zodanig dat als je vanaf het internet komt, je je *wel* moet aanmelden?

Beveiliging is maatwerk, inderdaad. Daarom komen bedrijfkritische gegevens ook *wel* achter SSL. Bedankt voor de tip!

Ik heb zelf een oplossing gevonden; kzet 'm hier maar neer voor de volledigheid. Commentaar wordt op prijs gesteld!

Oplossing:
Ik geef NTFS-rechten voor lezen (en waar nodig: schrijven) aan de groep Intranet Users. In deze groep zitten de gebruikers die op het intranet moeten kunnen.
In IIS haal ik bij de site Anonymous Access weg, en zet alleen Geïntegreerde Windows-verificatie (in NT4 Server: Windows NT Challenge/Response) aan.

Stel mijn server heet Vilenin en hij is van buitenaf bereikbaar via http://www.vilenin.com.

Als ik nu connect naar het intranet via http://vilenin/intranet dan kan ik daarbij als ik bij het domein aangemeld ben als een gebruiker die de juiste NTFS-rechten heeft. Als ik connect vanaf het intranet, dan moet ik http://www.vilenin.com gebruiken, en *dan* moet ik mijn username, password en domain opgeven. De credentials worden *niet* in clear text verzonden, in tegenstelling tot Basic Authentication.

Enkele nadelen aan deze truc: als ik vanuit het LAN connect naar http://www.vilenin.com, dan krijg ik een foutmelding "401.2 Unauthorized: Logon Failed due to server configuration" - maar dat maakt voor mijn functionaliteit niet uit.
Dit werkt volgens mij alleen met Internet Explorer 5.0 en hoger.

Ik hoop dat iemand er nog eens wat aan heeft.