[KobaLTD]

Разясняю.
Внимательно изучите принципы постраения авторизации в вындов и доменах.
1) Разлечаються уровни акторизации на доступ к ресурсам машины (притеры, шаринги, RPC) и разлечаеться участи в струкре AD.
2) Реализация авторизации в домене для случая с шарами отличаеться от компа stadalone только тем что в домене для хранения используеться LDAM а у отдельного компа NTLM
3) механизм авторизации для шар такой.
COMP1 -> я к тебе ->COMP2
COMP1 <-ты кто<-COMP2
COMP1 ->вася,пароль "стой стреляю"->COMP2
дале если знает то пускиет если нет то нет. И далеле начинаються более интересные механизмы. Теперь нюансы, при
1) запись вида test@"что то тут" или "что тут"\test просто дает понят в какой базе искать данного пользователя (внимательно читайте про доверительные отношения) "что тут" может быть именем кома, именем домена. т.е. явное указание в каком месте искать пользователя. если это не указана то используеться база по умолчанию - для компа в домене это LDAP, для отдельного компа локальная база. Т.е. если пользователь test есть в домене и его нет в базе локального отдельно стоящего компа то проблем не возникнет. Другой вопрос что в этом режиме он получит доступ только на уровне на котором получилбы стучас также к отдельному компу (т.е. не получая билетика керберос и т.д.)
это ответ на 1 вопрос.
на второй надо понять что вы подразумеваете - не пускалоб - если иметья вход в AD то его и так не происходт если на доступ к шарам - перекрыв его вы перекроете себе возможностсть воодить компы в домен. Да и тактично ли это ели пользователь авторизован в домене то он и так имеет доступ к нужной ему инфе, и если вам разница с кого компа он полул этот доступ?