Что Вы пытаетесь выполнить с ограничением их таким образом? Каждый пользователь в AD потребностях иметь доступ для чтения к AD так, чтобы это могло сделать взлеты взгляда и получить необходимую информацию аутентификации и авторизации.
Если бы Вы действительно просто обеспокоены ограничением тех двух программ (который не препятствовал бы тому, чтобы они использовали что-то еще, что читает информацию из LDAP), Вы могли предотвратить использование этих программ через GPO. (Пользовательская Конфигурация-> Администраторские Шаблоны-> Система-> политика-> не запускает указанные Приложения Windows).
Это действительно походит на попытку сделать безопасность с помощью мрака..., который просто не стоит того.
Удивление, была ли у Вас удача? Я нашел поток поддержки Amazon, который в основном говорит, что Цепочка для часов не может поддерживать BGP по туннелям VPN, но они смотрят на добавление поддержки в будущем релизе их программного обеспечения брандмауэра (Функция Watchguard #RFE41534). См. https://forums.aws.amazon.com/message.jspa? messageID=198172
Надеюсь, это поможет... если Вы получаете его работа, отправьте назад здесь. Я нахожусь в той же ситуации.