LDAP SquidGuard - Subdomínio

Bom dia rapaziada. Primeiramente peço desculpas caso o assunto não se enquadre nesta categoria de assunto. O meu problema é o seguinte:
Estou implementando o servidor Proxy usando o Debian 8.6 com o Squid3 com filtro pelo o SquidGuard. Como na minha empresa temos um domínio principal fictício chamado CONTOSO.LOCAL que ficam os usuários administrativos da instituição e temos um domínio filho chamado ESCOLA.CONTOSO.LOCAL. Configurando o Squid, Kerberos, Winbind e o Samba4 consigo criar filtros por grupo do domínio principal normalmente pelo o SquidGuard com o seguinte comando:

src RH {
ldapusersearch ldap://ad.contoso.local:3268/DC=contoso,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=RH-GLOBAL%2cOU=PROXY%2cDC=contoso%2cDC=local))
}

Mas não consigo buscar os usuários do grupo aluno que está no subdomínio ESCOLA.CONTOSO.LOCAL. Lembrando que, criando acls para bloqueio no próprio Squid consigo bloquear os alunos. Mas o objetivo era usar a blacklist do Shalla. Quando uso o comando tail -f consigo visualizar os acessos dos aluno mostrando assim: ESCOLA\\fulano.beltrano.

Alguém tem alguma dica de consulta ldapsearch que possa buscar os usuários do subdomínio ESCOLA pelo o SquidGuard?

Abraço!

Alguém já conseguiu implementar com essa configuração?

Essa autenticação esta acontecendo atraves de SSO (single sign on)?

Bom dia valdinei.campos! A autenticação está sendo realiza no Squid3 usando NTLM no Active Directory aproveitando a autenticação que o usuário faz ao logar no Windows. Os usuários que estão no Grupo do domínio principal/pai, o filtro pelo o SquidGuard funciona normalmente. Agora, não consigo filtra o acesso dos usuários que estão no domínio secundário/filho. Meu domínio principal: CONTOSO.LOCAL e o domínio filho: EDUCACIONAL.CONTOSO.LOCAL. Ou seja, não consigo buscar os usuários do GRUPO TI que se encontra no domínio EDUCACIONAL.CONTOSO.LOCAL.