Questões de confiança entre domínios do Active Directory para impedir programas mal-intencionados

Vou começar minha pergunta explicando minha situação.

Minha empresa tem enfrentado bloqueios aleatórios, mas de tipo periódico, envolvendo muitas (senão todas) as contas. Minha equipe suspeitava que houvesse algum tipo de malware e / ou ferramenta de hacking que estivesse extraindo todas as contas de usuários do Controlador de Domínio do AD e tentando invadir essas contas por força bruta.

Atualmente, estamos monitorando todos os incidentes de bloqueio, tentando diminuir a fonte do criminoso.

No entanto, até que realmente encontremos - e persigamos - o perpetrador, há algumas atividades que realmente precisam de acesso ininterrupto, não afetadas por bloqueios de conta. Vamos chamar essas contas de overseers .

O que eu tinha em mente para resolver esse dilema é:

1. Crie um domínio temporário. Vamos chamar isso de d2.company.com (D-2), enquanto o domínio afetado original é chamado d1.domain.com (D-1)
2. Ter D-1 confiança D-2, mas não o contrário (ou seja, D-2 não confia em D-1)
3. Crie algumas contas em D-2 e de alguma forma conceda a elas os mesmos privilégios que a conta overseers em D-1. [1]

Agora, minhas perguntas:

A) Essa estratégia funcionará?

B) O programa / malware mal-intencionado será capaz de bruteforce contas D-2?

C) Quaisquer pegadinhas que eu preciso me preocupar?

TIA pela sua ajuda.

[1] Sim, possivelmente eu tenha que criar grupos 'Universal' e adicionar isso a todos os grupos locais de domínio relevantes, mas isso é um tédio que eu estou perfeitamente disposto a fazer.