Вопрос привязки терминального пользователя к IP его р.станц.

[RST]

Здравствуйте уважаемые профи! Однажды вы мне здорово помогли советом на этом отличном форуме. Надеюсь и сейчас на вашу помощь.
Проблема следующая. Средствами ISA server 2000 (ISA) в интернете опубликован внутренний Citrix Server (MetaFrame 1.8) (ICA) установленный на системе Windows 2000 Advanced Server (ADS). Клиенты регистрируются на сервере (ADS) посредством (ICA) как из внутренней сети, так и из интернета. Возникла задача привязать каждого клиента к IP его рабочей станции (в случае входа на (ADS) из интернета к IP интернет - шлюза данного клиента) таким образом, чтобы был невозможен вход на сервер (ADS) клиентом не со своего IP. В частности это нужно для того, чтобы администратор мог залогониться на (ADS) только из локальной сети.
Стандартными средствами (ADS) равно как и (ISA) это сделать нельзя. Родилась идея: при логоне юзера на (ADS) запускать скрипт (например js) который бы анализировал имя пользователя, IP адрес его сессии (то что видно в поле «Client address:» на закладке «Information» в «Terminal Services Manager» при выборе нужной сессии) (IPU) и на основании сопоставления этой информации с эталонной (например, хранящейся в каком ни будь файле) либо ничего не делать, либо тупо логоффить  пользователя.
Вопрос в том, каким образом можно добраться до этого самого (IPU). Я понимаю, что здесь не обойтись без WMI, но сам я так и не смог найти ни класса, ни тем более свойства этого класса, соответствующего (IPU).
Надеюсь на вашу помощь. Может быть, есть и более прямое решение?

[a_shats]

А не проще ли - авторизовать клиента на VPN и уже там привязывать и проверять правильность IP для клиента ?

[RST]

В указанном выше случае, удаленный доступ организован без использования VPN. Задействуется исключительно (ICA), т.е. VPN не рассматривается вовсе.