Я не уверен, правильно ли я понял проблему, но разрешение такого типа на сайты всегда можно разрешить следующим образом:
1) разделить пользователей в AD на две отдельные группы, а затем на сайте A добавить к некоторымГруппа SP (например, посетители или участники) - одна группа AD, а на сайте B - другая. Не используйте всех пользователей.
2) вы можете поделиться сайтом, добавив непосредственно пользователя в группы SP. Например, вы можете разработать простой сценарий powershell, и с его помощью вы сможете определить, какой пользователь должен иметь возможность посещать какой сайт, и добавить логин (профиль пользователя) этого пользователя на правильный сайт. Этот сценарий можно запланировать в форме обслуживания расписания.
3) можно настроить настраиваемый поставщик утверждений, и на основе некоторых разрешений из AD вы можете сгенерировать некоторые утверждения для пользователей, а затем добавить сгенерированное утверждение на сайт A идругая претензия к сайту B. Пользователь с правильной претензией сможет зайти на соответствующий сайт. Пожалуйста, проверьте здесь для более подробной информации об этой опции