Bom dia,
Como utilizo a mesma versão, posso tentar te ajudar.
Não sou mega experiente em Zentyal, mas consegui fazer essa configuração.
Meu cenário é o seguinte:
Tenhos dois Zentyals, um como Gateway e outro como PDC e AD.
Fiz o Gateway como ADC do PDC e está funcionando corretamente.
O meu servidor proxy fica no Gateway, então vamos lá:
No Users and Computers, você precisa criar grupos dos usuários (TI, RH, Comercial, etc...). No meu caso, além de separar em Grupos (Groups -> Security Group), também separei em Unidades Organizacionais (Organizacional Unity). As unidades organizacionais com o mesmo nome dos grupos.
Depois, criei regras no proxy só para exemplificar.
Regra que já vem:
Eu alterei para: negar tudo de todo lugar.
Criei uma nova regra:
Grupo TI pode acessar tudo.
Então, quando um usuário do grupo TI logar no navegador, tem que poder acessar tudo, certo?
Depois disso, foi só configurar o navegador do cliente para receber proxy e pronto, ao acessar qualquer página, ele pede autenticação.
OBS.: coloquei imagens para ilustrar tudo, para você poder se basear.