[Nerian]

Топология сети к примеру такая:

192.168.1.0/24 -> серверное оборудование в москве
192.168.2.0/24 -> пользователи в москве
192.168.3.0/24 -> пользователи в москве
192.168.100.0/24 -> пользователи питер
192.168.101.0/24 -> пользователи екатеренбург

В москве находяться к примеру следующие сервера:

192.168.1.2 - dc01 (контролер1, он же файловая шара)
192.168.1.3 - dc02 (контролер2, резервный)
192.168.1.4 - ts01 (терминальный сервер)

У пользователей в москве - десктопы, которые полноценно используют файловую шару на прямую
У пользователей в питербурке и екатеренбурге терминальные клиенты через которые они используют файловую шару
а так же... есть несколько десктопов, к примеру для локального сканирования.

Задача: запретить региональным пользователям с десктопов обрашаться к файловой шаре на dc01, при этом оставив возможность использовать GPO (sysvol, netlogon)

Вот. В краце топология.