Se houver necessidade de restringir o acesso a compartilhamentos de arquivos na empresa com base no departamento / necessidade de conhecimento, a restrição de sub-rede não o fará. Mesmo que você configure algo que "restrinja" o acesso a um determinado compartilhamento baseado em sub-rede, você não possui mecanismos de autenticação ou autorização para determinar se o acesso está sendo realizado por um usuário daquele departamento que deveria estar acessando o compartilhamento de arquivos ou não . Alguém poderia simplesmente jogar uma máquina (uma máquina de trabalho ou uma máquina externa) naquela sub-rede e acessar a parte irrestrita essencialmente.
Eu não tenho experiência com nada além de compartilhamentos de arquivos do Windows, mas como você tem o AD, eu acho que o caminho a percorrer seria obter um servidor de arquivos do Windows. Você pode então bloquear os compartilhamentos de arquivos com base na associação do usuário e do grupo do AD. Embora alguns usuários não se autentiquem no AD quando fazem logon em suas estações de trabalho, eles devem receber uma solicitação de credenciais ao tentar acessar o compartilhamento de arquivos e, em seguida, devem autenticar usando suas credenciais do AD.