Moin Morphie,

wie soll denn bitte ein Rechner, der keinen Zugriff auf des entsprechende AD hat die zugehörigen GPOs ziehen können?
Dann bräuchtest Du auch keine lokalen Accounts.
Die einzige Lösung, die mir dazu einfällt:
Soweit mögich die Policies lokal einrichten.

Soll er ja gar nicht. Die User aus Domain A sollen sich per RDP auf einen Rechner in Domain B verbinden. Die GPOs kommen dort natürlich von Domain B!

Das einzige Problem ist, dass die Authentifizierung nicht klappt, weil es technisch nunmal nicht die selben User sind. (Benutzername und Passwort sind aber identisch)

Bei RDP scheint die Prüfung also in etwa so zu funktionieren:
Domain\Username = Domain\Username AND Password = Password

Beim IIS scheint die Prüfung aber so auszusehen:
Username = Username AND Password = Password
Dort wird die Domain also scheinbar nicht geprüft... Genau so möchte ich das bei RDP auch haben

Aber ich befürchte die einzige Lösung ist eine One-Way-Vertrauensstellung

Per RDP kann man sich via "Domain/Benutzername" oder "Benutzername" anmelden (direkt so in das Feld Benutzername eingeben) und das auch aus komplett anderen Netzwerken,
wenn der Benutzername in einer Domain liegt, dann muß Diese mit angegeben werden, sonst würde er nicht gefunden.

Warum nicht einfach eine einseitige Vertrauensstellung? Selbst wenn Du es gelöst bekommst, müsstest Du die Benutzer-Passwort Tupel auf beiden Seiten immer konsistent vorhalten. Rein Sicherheitstechnisch ist das schlechter als das gute alte "NT4 Ressourcendomäte-Kontendomäne Konzept". Mehr Arbeitsaufwand steckt auch drin.