Очень громоздко, и то и то...
В том смысле, что это надо ВНЕДРЯТЬ, NAP это вообще "вешалка", IPSEC не лучше.
Как из пушки по воробьям получается.
Задача-то вроде бы простая. По крайней мере, просто звучит.
И решение тоже хочется простое, понятное... Городить IPSEC совсем не хочется.
Чёрт с ними, с первыми двумя пунктами.
Как отказать в сетевом входе с не-доменных машин?