質問１

制御の方式をどのように実現するかによって変わってきますが、Active Directoryが導入されているようであればグループ単位で特定端末へのログインを制御できると思います。
Webサーバへのアクセスについては、Active Directoryと連携しての認証を実装するでしょうか?

ただ、質問2の「PublicユーザーをWeb２サーバーのみアクセス許可」と書いてあるのが気になります。
これは外部からのアクセスという意味ですか?
そうであれば認証方式は現実的ではないと考えられ、内部グループBからWeb2へのアクセス制御はIPベースとしてFirewallで制御するしかなさそうです。

質問2

先に記載しましたが、外部からの接続をご期待されていますか?
この場合、ISPとの契約内容にもよるので一概には言えませんが、Webサーバを外部公開する設定が必要になります。
固定1IP契約の場合であれば、Webサーバに対してのIPフォワーディング + サービスポートの開放が必要になります。
固定複数IP契約の場合は、上記でも実現できますが、Firewallでunnumberedの設定をし、WebサーバにグローバルIPを付与することで実現可能です。
内部リソースを外部に公開する場合は厳しいセキュリティを設ける必要があることを留意してください。

質問３

これはざっくりとしていすぎて適切な回答ができないのですが、どのような回答をご期待されているのでしょうか?

VPN接続は導入されているFirewallと接続に使用するソフトウェアに依存します。
VPNの接続についてはssl、IPsec、PPTP、L2TPなどがあります。
セキュリティ面に脆いPPTPとかは今時使わないでしょうが・・・
VPNの方式にも依りますが、接続を許可するユーザ名、パスワード、PSKなどを設定できますので、接続を許可するユーザにのみ接続情報を提供することで、接続元制御は可能です。

ほか、Active Directoryを導入されているのであればNPS(ネットワークポリシーサーバ)を導入することでRadiusの役割を果たしますので、特定のADユーザにのみ接続を許可する設定も可能になります。
※その場合、FirewallがRadius対応品である必要があります。