команда для пользователей списка в системе Linux

Да, это будет работать. На практике я нашел, что 99% сценариев доступа являются client-pull-from-server.

То, где это могло повредиться, - то, если Вы привыкли использовать MMC для управления рабочими станциями с сервера, но если Вы уже не делаете этого, это не важная персона.

Один глюк для внимательности - то, что необходимо удостовериться, что у клиентов есть доступ к серверу DNS контроллера домена. Таким образом, если Ваше поле NAT, направляющее 192.168.20.0/24 сеть также выполняет свой собственный сервер DHCP, удостоверьтесь, что она раздает IP-адрес Вашего контроллера домена (192.168.1.100) в DHCP, или если это выполняет свое собственное средство передачи DNS, удостоверяются, что поле NAT использует Ваш контроллер домена в качестве восходящего DNS.

Честно — 9 раз из 10, если Ваш клиент не может разговаривать с сервером, это - проблема DNS, не проблема NAT.

Как общая рекомендация (немного вне темы), я настоятельно рекомендую, чтобы Вы начали смотреть на развертывание IPv6. Active Directory и SMB по IPv6 не поддерживаются с Сервером 2003 или Windows XP, но полностью поддерживаются в Windows Vista и Сервере 2008, так что-то для размышления о. (С DirectAccess и Гибкой VPN, это сделано намного легче, чем Вы иначе думали бы.)