Как да ограничим потребителите да влизат в компютри в мрежа с един домейн

Беше:
Ситуацията е следната (всичко е организирано на виртуални машини):
Разполагаме с Main-First сървър (и Main-Double сървър, който го дублира) и разполагаме с множество контролери на поддомейни на този сървър;
Всичко е организирано чрез Active Directory. Контролерите имат Windows Server 2008 R2.
Необходимо е:
1. Организирайте възможността администраторите да създават поддомейни на потребителски/компютърни акаунти в своите контролери за поддомейни;
2. Откажете възможността за влизане на потребители от един поддомейн в други, т.е. като има поддомейн moskva.kontora.ru и потребител в него Вася Пупкин ([email protected]) забранява на него и други като него да влизат в компютри (ако той присъства физически там) на поддомена saratov.kontora.ru
3. Дайте възможност, ако е необходимо, да разрешите ръчно такива влизания от администратора на контролера на гората;

Стана:

---