Por tus explicaciones parece que restringes el acceso entre departamentos via grupo de trabajo (usuario/pass) que solo deben conocer los miembros respectivos de cada grupo.

Una solución pasaría por montar la maquina con Samba, como Controlador de Dominio de clientes windows. De este modo creas una base de datos con todos los usuarios windows en la maquina samba. Por desgracia creo que aún no sé pueden configurar politicas de seguridad para windows. No obstante creo que el uso de grupos en linux podría servir. Aunque solo para los archivos que estén en Linux. (Por la capacidad de asignación de persmisos)

Así, creas grupos para los departamentos (gcontables, gmontadores,..) y haces que pertenezcan a esos grupos los usuarios que toquen.

Del mismo modo creas un grupo o varios especiales que serían para esos usuarios con acceso a los archivos de los departamentos. (p.e. gsupervisores). A este grupo añades los usuarios especiales (coordinadores, gerente..) y a esos usuarios le haces miembros también de los grupos de departamentos que quieres que tengan acceso.

Lo siguiente es establecer con chown los grupos para los directorios y archivos según correspondan a un grupo y a otro. También establecer los permisos que quieras. Así como usar umask para los distintos usuarios, para que los archivos nuevos que creen obtengan unos determinados permisos. De manera que siempre puedan tener acceso ellos, y los "supervisores".

Esto como decía antes solo será válido para los archivos que tengas en Linux. Por tanto una solución para controlar esto, es obligar a crear los archivos de los usuarios en directorios linux. Windows puede escribir en unidades ext, por medio de smb. Por lo tanto pon el home del usuario o direcotorios especificos para departamentos en la maquina linux.

Los perfiles de usuarios Windows deberán quedarse también cada maquina windows. Aún cuando uses perfiles moviles.

Saludos,
Unaidex