[xeel]

Fighter

Цитата:

будет более целесообразным манипулировать соотв. значениями AD && local users and groups && security policy, etc.

А с моей точки зрения - проще поставить одну железку и разграничить доступ на аппаратном уровне...
Каждый отдел - в отдельный свич (обычный), от каждого свич - ап-линк до программируемого свича.
Оба сервера - тоже в программируемый свич. И дальше на нём настраиваем - дырки для серверов (например 1 и 2) видят все остальные дырки (3-24). А все остальные (3-24) видят только дырки 1 и 2. И поставленная задача выполнена.