Pensando....
Se eu configurar os horários válidos para login no AD resolvo esse problema, já que os usuários não conseguirão acessar fora de horário.... O login no OCS segue as regras de horários do AD para login,
certo?
Fora esse detalhe das permissões, OCSR2 + Trixbox (VOXIP 60 canais) funcionando 99%.... O 1% que falta é o CWA que insiste em não permitir o compartilhamento de telas para fora da rede... mas isso é assunto para outra pergunta
quando eu me focar nesse problema.. :)
Muito obrigado.
Juares Rigotti