Было:
Ситуация следующая (все организовано на виртуалках):
Имеем сервер Main-First (и сервер Main-Double дублирующий его) и имеем еще некоторое количество контроллеров поддоменов на данном сервере;
Все организовано через Active Directory. На контроллерах установлен Windows Server 2008 R2.
Необходимо:
1. Организовать возможность создания администраторами поддоменов учеток пользователей/компьютеров в подвластных им контроллерах поддоменов;
2. Запретить возможность входа пользователей из одного поддомена в других, т.е. имея поддомен moskva.kontora.ru и пользователя в нем Vasya Pupkin (vpupkin@moskva.kontora.ru) запретить ему и ему подобным возможность входить на компьютеры (в случае его физического присутствия там) поддомена saratov.kontora.ru
3. Сделать так, чтобы при необходимости была возможность ручного разрешения такого входа Администратором контроллера леса;

Стало:
Лес: kontora.ru
Контроллеры домена:
main-f.kontora.ru — главный основной — виртуалка
main-d.kontora.ru — главный резервный — виртуалка
moskva-f.kontora.ru — московский офис — главный — виртуалка
moskva-d.kontora.ru — московский офис — резервный — виртуалка
norilsk.kontora.ru — норильский офис — физический

С горем пополам пересены учетки пользователей.
Вопросы:
1. Как лучше добавлять офисные серверы: как контроллер домена или как контроллер поддомена?!
2. Как перенести учетки компьютеров?
3. Как перенести группы пользователей?
4. Как и какие именно групповые политики настроить таким образом, чтобы Администратор Московского офиса мог рулить только Московскими пользователями и компами (создание, изменение и управление), при этом не имел возможности изменить что-то других городах?

ЗЫЖ Уже столько прочитал по АД и групповым политикам, что в голове каша и я уже, честно говоря, запутался во всем… =)