Не уверен (негде посмотреть - у меня везде однодоменные леса)
в GPO Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему
Задаются пользователи и группы которым можно заходить в систему. По-умолчанию там локальные группы.
Составом локальных групп можно управлять через Group Policy Preferences (на XP требуется установка расширения для поддержки - на Vista и выше поддержка есть)
Если в каждом домене в локальных пользователях ПК будут только пользователи этого домена - другие не смогут входить.
Для пользователей из других доменов, которым надо дать доступ - можно в локальные пользователи заранее добавлять какую-нибудь дополнительную группу - надо дать доступ на вход в соседний домен - добавили в группу, надо забрать - удалили.
Администраторы леса по-умолчанию всегда будут иметь доступ везде - и это лучше не трогать.
P.S. А вообще, если Вы на стадии проектирования - задумайтесь - так ли Вам необходима многодоменная архитектура?
