O mecanismo para controlar a replicação de senhas para um controlador de domínio somente leitura (RoDC) é através de Diretiva de replicação de senha (PRP). As senhas são a única parte da partição do Domínio do banco de dados do Active Directory (AD) que é seletivamente replicada para os do RoDC. Todo o resto dos objetos e atributos serão replicados.
O PRP é baseado em entidades de segurança (Grupos, Usuários, etc), não em UOs (que não são entidades de segurança e não possuem identificadores de segurança).
Não está claro o que você está perguntando, mas se você estiver tentando dizer que precisa controlar o escopo da replicação para todos os objetos dessas OUs, então, sem dúvida, uma floresta ou domínio do AD separado para cada site é o que você precisa. Se você está fazendo isso por questões de isolamento de segurança, então as Florestas separadas são realmente o único caminho a seguir.