Uma maneira de atingir esse objetivo é declarar vários domínios, restringindo os primeiros a apenas os membros de um determinado grupo.

[sssd]
config_file_version = 2
services = nss, pam
domains=DOMAIN_GROUP1,DOMAIN_GROUP2,DOMAIN

[nss]
default_shell = /bin/bash

[domain/DOMAIN_GROUP1]
id_provider = ad
# Domain
ad_domain = domain.local
# Servers
ad_server = dc01.domain.local,dc02.domain.local,dc03.domain.local
# Restrict to group members
ldap_user_search_base = DC=domain,DC=local?subtree?(memberOf=CN=group1,OU=Groups,DC=domain,DC=local)
# Shell
override_shell = /shell/path/for/group1
# Homedir
override_homedir = /home/%u

[domain/DOMAIN_GROUP2]
id_provider = ad
# Domain
ad_domain = domain.local
# Servers
ad_server = dc01.domain.local,dc02.domain.local,dc03.domain.local
# Restrict to group members
ldap_user_search_base = DC=domain,DC=local?subtree?(memberOf=CN=group2,OU=Groups,DC=domain,DC=local)
# Shell
override_shell = /shell/path/for/group2
# Homedir
override_homedir = /home/%u


[domain/DOMAIN]
id_provider = ad
# Domain
ad_domain = domain.local
# Servers
ad_server = dc01.domain.local,dc02.domain.local,dc03.domain.local
# Homedir
override_homedir = /home/%u

Membros de group1 use /shell/path/for/group1 , membros de group2 use /shell/path/for/group2 , todos os outros DOMAIN usuários usem /bin/bash

Uma desvantagem é se um usuário é um membro de ambos os grupos: ele sempre cairá no primeiro "domínio" DOMAIN_GROUP1.

EDIT: uso de ldap_user_search_base em vez do ldap_user_search_filter preterido. Ele deve estar trabalhando em versões mais recentes do sssd.

Você provavelmente não pode fazer isso em um grupo, mas pode alterar o shell por usuário no AD para SSSD. Vá para os atributos reais do objeto usando o ADSI Edit e altere o atributo "loginShell" para o usuário. Alternativamente, você pode procurar usar o Puppet para trazer coisas semelhantes ao GPO para o Linux e talvez gerenciá-lo lá (não tenho certeza se é possível).