[xoxmodav]

1. Конечно можно, группы именно для этого и предназначены.

Пример:
Создай несколько групп (желательно доменных локальных) с названиями типа:
- DL Бухгалтера - Full
- DL Бухгалтера - Read & Write
- DL Бухгалтера - Read
После чего раскидай пользователей-бухгалтеров по этим группам - каждого в свою группу (в зависимости от служебных обязанностей). После чего на сетевой ресурс дай полный доступ группе "Все" или "Прошедшие проверку", а в настройках безопасности прерви наследование и назначь вышеперечисленные группы и задай им соответстующие права. Вуаля - пользователи, не входящие в эти три группы попасть на сетевой ресурс не смогут.

2. Здесь не то, что ты ищешь: "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos"?