Err... Lo siento, pero esta opción no me parece en absoluto adecuada. Me explico.

Si puedes restringir el acceso a la configuración de red a través de políticas de grupo en un servidor de dominio, es que tienes los equipos integrados en un dominio... Un equipo integrado en dominio sin que el DNS apunte al servidor de dominio (o DNS principal del AD) no funcionará adecuadamente (se ralentizará, tendrá errores erráticos en acceso a unidades, etc)... El DNS debe funcionar. Y dado que es el DNS principal tambien deberá ser capaz de resolver dominios externos.

Tienes varias formas... Apunto dos:

1.- No complicarte la vida...
Ya la tienes hecha. Asigna IPs estáticas a esos equipos (fuera del rango DHCP), y deja el DNS apuntando al servidor de dominio como debe ser... Por políticas de grupo, como te dijeron, inhabilita la posibilidad a esos usuarios a tocar la configuración de red en sus ordenadores. En el router deniega el acceso a esas IPs a Internet (filtrado IP).

2.- Complicate un poco, diviértete y... Monta un proxy.
Un proxy squid (incluso un hyve en maquina virtual) gratuito te permitirá hacer labores de proxy autenticado... Tendrás que dar de alta a los usuarios, pero una vez dados tendrán que meter su clave para salir a Internet.

En este caso tu seguridad aumenta, dado que deniegas USUARIOS, no IPs. Si los dos usuarios esos que dices, se sientan en otro equipo, podrán conecctarse a Internet con la primera opción (y con la opción de quitar los DNSs en sus equipos)... Con ésta no (salvo que sepan la clave de un usuario con acceso).

Al menos yo lo haría así... Como te dije, quitar el DNS principal de un equipo en un dominio (que debe apuntar al servidor DNS del dominio, generalmente la misma máquina que actúa como Servidor de Dominio), sólo te traerá problemas de operatividad en esas máquinas dentro del dominio.