As máquinas Windows têm a capacidade de delegar (confiar) na autenticação para um único domínio do Active Directory (ou do estilo antigo do Windows NT) em um processo chamado "ingressar" no domínio. Esse domínio pode ter relações de confiança com outros domínios ou regiões do Kerberos, mas essa é uma relação entre os computadores do Controlador de Domínio e os domínios ou regiões estrangeiros. O cliente ainda confia em um único domínio.
Não há conceito de "preferências gerenciadas", por si só. O mais parecido é provavelmente a Política de Grupo do Active Directory. O cliente aplicará a Diretiva de Grupo do computador do domínio ao qual está associada. No entanto, se um usuário de um domínio confiável fizer logon, a Diretiva de Grupo do usuário será processada no domínio em que a conta de usuário está localizada. Isso é o mais provável que você chegue ao que o OS X permite.