お疲れ様です。

やりたいことはわかるのですが、なんか厳しいような気がします。
一般的には、IPアドレスやMACアドレス等のネットワーク的な部分ではじいているケースは多いと思います。

ADの場合、ユーザーアカウントと別にコンピューターアカウントが存在します。
フォルダーやファイルのアクセス権で、このコンピューターアカウントを設定できれば、そこでPC本体を制約することは可能ではないかと思います。
（今手元にAD環境がないので、ちょっと試せないのですが）

ちょっとゆがんだやり方ですが、GUESTSアカウントを有効にして、
共有フォルダー等をすべてGUESTSを拒否しておけば、WORKGROUPのPCからであれば共有フォルダーを開こうとすると、ユーザー名やパスワードを聞かれずはじかれるはずです。
（これは、WORKGROUPのPCが自分のアカウントを最初に送る仕様だから）

ただ、NET USE等でユーザー名を別指定をした形でやれば、突破できてしまいますが・・・。

取り急ぎの対策はこの辺で対応するとかですかね...

ＡＤには詳しくないですが
「ドメインに参加していないPC」ということは無いのではないかと思います。
ドメインに参加していないユーザ　なら判りますが．．．