AD 2003 и AD2008: пользователь работает с двумя разными подразделениями, и мы хотим дать им разные разрешения в зависимости от того, где они работают?

Я могу быть в невыполнимой миссии:

Условия: Проблема здравоохранения: ограничение доступа в зависимости от выполняемой работы в течение дня.

Человек может работать 3 дня в одном из наших организационных подразделений, а затем работать в течение 2 дней в другом подразделении. Т.е. человек работает неполный рабочий день в двух разных отделах.

Для одного приложения, называемого «Запись пациента», мы хотим, чтобы пользователь мог просматривать доступ к приложению при работе с OU 1 и использовать доступ к обновлению только в те дни, когда он находится в OU 2.

Я понимаю, что «Член группы» является атрибутом объекта пользователя, и типичное поведение для авторизации приложения - это видеть члена группы «Просмотр» и члена группы «Обновление» и назначать сеансу пользователя один из уровней доступ (самый ограничительный или самый разрешительный? или только первый найденный в списке?

Если я попросил пользователя при входе в систему с настраиваемой страницей входа выбрать OU (т.е. выбрать свой отдел из списка), есть ли способ получить приложение, чтобы предоставить им только доступ, связанный с этим OU?

Я знаю, что вы можете сделать это с двумя отдельными доменами, и предоставление пользователю другого идентификатора пользователя в одном домене, который у нас есть, является их любым способом сделать это и удовлетворить следующие требования:

1. У пользователя должен быть только один идентификатор пользователя?
2. Пользователь должен получить разные разрешения в зависимости от организационного подразделения
3. Пользователь может выбрать организационное подразделение
4. Мы хотим сделать это в одном домене AD, пытаясь достичь единого домена леса, а не идти в другом направлении.
5. Я бы предпочел не настраивать приложение, чтобы это работало.

Заранее благодарю за любую помощь.