信頼関係後のアクセス制限はどうするか？

Aドメイン: Samba 3.0.x
Bドメイン: Samba 3.0.x

の二つのPDCで信頼を結んだ場合、どのようにしてアクセス制限するのかがイマイチわからん。
信頼関係自体は問題なくできたのですが、アクセスの制御はどうするのでしょう？

Aドメインのsmb.confでBドメインからのアクセスをBドメイン上のグループ(testgroup)単位で制御する場合
valid usersにこう書けばいいのかな？

1. valid users = @Bドメイン\testgroup
2. valid users = Bドメイン\@testgroup
3. valid users = @testgroup

@の位置がわかんない...。
3で行けそうな気もするけど、どっちのドメインかわからんからたぶん↑の方だろう。

webを調べた感じでは、1番が正解っぽい。
午後にでも試してみます。