Удаленный сервер терминалов: как не дать пользователям RDP шарить с него в интернете?

В небольшой организации на рабочих местах расположены чистые компы без чего-либо кроме Windows и клиента RDP, вся работа ведется на сервере терминалов, который находится от греха подальше.

Cервер терминалов развернут на слегка модифицированной Windows 7 Ultimate. Права пользователей ограничены от всего, что им трогать не нужно, каждый пользователь шуршит в своем маленьком пространстве, НО:

Пользователи иногда имеют склонность шарить по сети, в контакте посидеть, в одноклассниках и так далее.

Задача: ограничить доступ некоторым (именно некоторым, но не всем) к любому вебу, кроме: пары сайтов с сервисами, которые мы используем в работе.

Я не силен в этой области, но нашел прокси-сервер Squid.

Правильно ли я уразумел, что если развернуть эту вещь на компьютере, выполняющем роль терминалов, то будет возможность ограничить свободу серфинга для конкретных пользователей, а не для всех подряд? И если существуют статейки с примерами развертки такого хозяйства, буду признателен.