O produto não tem funcionalidade para fazer o que você está pedindo usando os controladores de domínio somente leitura (RoDC, Read Only Domain Controllers). Você pode controlar a funcionalidade de armazenamento em cache de senhas dos RoDCs, mas a capacidade de os logons serem manipulados por um RWDC (Controlador de domínio de leitura-gravação) não pode ser controlada.
Não está claro exatamente o que você está procurando. Talvez você possa elaborar sobre por que você quer essa funcionalidade.
Você pode transformar a máquina "RoDC" nos diagramas de exemplo em um Controlador de Domínio (DC) para uma floresta separada do AD (Active Directory). Isso faria com que ele manipulasse todo o tráfego de logon e impediria qualquer comunicação implícita com os RWDCs na outra floresta. Isso está adicionando muita complexidade, no entanto.
No final, é difícil recomendar qualquer coisa para você sem entender por que você quer isso.