Esse tipo de coisa está longe de ser fácil de configurar com ferramentas nativas do AD. O Active Directory não tem a capacidade de fazer atribuições de direitos herdáveis a uma UO e ter todos os membros dessa UO que herdam o acesso dessa atribuição. Para que o AD faça o que você está procurando, você terá que modificar automaticamente as associações de grupo deste usuário com base no seu horário de serviço e acoplar isso com logoffs forçados para que seu token de segurança seja atualizado.
No entanto, parece que você pode estar trabalhando com um aplicativo da Web que introduz uma camada de lógica de aplicativo entre o usuário e os dados reais. Nesse caso, você pode adicionar outro campo de login, chamá-lo de 'autoridades' ou algo em que o usuário tenha que selecionar uma função para efetuar login e o próprio aplicativo envia um proxy para o acesso.