Проблема в следующем.
Для того, чтобы позволить юзеру из другого домена запускать сервер-приложение, я из своего домена должен видеть тех пользователей. Это возможно при доверительных отношениях.
Админ не хочет этого делать. Кроме того он убил всю доверительность.
Т.к. юзеры видели все сети/подсети в проводнике и от безделья тыкались туда в надежде чем-нибудь поживиться. Доступ им туда закрыт, поживиться нечем, но пока Win выяснит, что доступа нет - в сетках были жуткие тормоза.

Короче, я пошёл другим путём и решил проблему.
Пользователей из других доменов вынужден прописывать у себя с идентичными логинами и паролями. Это жуткий неудобняк. К тому же нах не нужны обвинения, что мне известны их логины из их доменов.

Я нашёл ещё способ.
Завёл в своём домене универсального пользователя для запуска DCOM приложений. Через dcomcnfg указал, что конкретное приложение следует запускать от имени этого указанного пользователя. При попытке пользователя из другого домена запустить его - оно запускается. Я его вижу в списке процессов. Но пользователю идёт сообщение - Отказано в доступе.
Если я этого чужого пользователя снова пропишу у себя - всё работает.

Может я чего упустил? Или это невозможно?
Есть подозрение, что не в dcomcnfg, а ещё в локальной политике безопасности надо что-то разрешить, но не знаю чего. Подскажите.