от куда запускали ? нужно отследить весь маршрут от вашей проблемной сети, до вашего роутера. Ну и конечно, попробуйте напрямую отправить нефрагментированный пакет 1500 байт, с вашего роутера, и постепенно понижайте.
Не охото заниматься вангованием, но еще не понятно по L3 интерфейсам до вашего ISP, случаем не используете ли gre туннели ? Они имеют свойство увеличивать размер пакета засчёт дополнительных заголовков (GRE, IPSec и т.д.).
Если никаких манипуляций с правами на уровне AD не делали, то уже по умолчанию DomainUsers имеют права Read-Only на весь домен. Можете проверить это, запустив оснастку ADUC от имени доменного пользователя.