Slipeer

Пароли не перенести никак (на самом деле есть один способ, но это сложно и для тестирования неоправданно).
Для переноса объектов пользователей вместе с флагами попробуйте экспортировать их вот так:

ldifde -f Exportuser.ldf -s kontora -d "dc=kontora,dc=ru" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName,userAccountControl"

В атрибуте userAccountControl хранится информация о заблокированности пользователя в том числе.
Или для включения уже проимпортированных пользователей можно попробовать что-нибудь вроде:

Get-ADUser -LDAPFilter "(&(objectCategory=person)(objectClass=User)(userAccountControl:1.2.840.113556.1.4.803:=2))" | Enable-ADAccount

Не уверен (негде посмотреть - у меня везде однодоменные леса)
в GPO Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему
Задаются пользователи и группы которым можно заходить в систему. По-умолчанию там локальные группы.
Составом локальных групп можно управлять через Group Policy Preferences (на XP требуется установка расширения для поддержки - на Vista и выше поддержка есть)
Если в каждом домене в локальных пользователях ПК будут только пользователи этого домена - другие не смогут входить.
Для пользователей из других доменов, которым надо дать доступ - можно в локальные пользователи заранее добавлять какую-нибудь дополнительную группу - надо дать доступ на вход в соседний домен - добавили в группу, надо забрать - удалили.

Администраторы леса по-умолчанию всегда будут иметь доступ везде - и это лучше не трогать.

P.S. А вообще, если Вы на стадии проектирования - задумайтесь - так ли Вам необходима многодоменная архитектура?