Ez a Horizon beállítás tapasztaaltom jól működik vezetékes hálózaton is (és ugyan úgy kell állítani, a "/interface birdge port"-nál). Én PPPoE kliensek elszigetelésére használom nagy volumenben, csak a PPPoE szerver felé beszélhet mindenki (teljesség végett: ezen felül csak pppoe-discovery és pppoe-session csomagok mehetnek). Így lehet rádugni a végpontra fordítva router-t, DHCP szerverrel, vagy akármi mást, senkivel semmit nem tud kezdeni egy-egy végpont.
A Te leírásodban a Windows-os kollégáid szerintem tévednek. És a tévedésnek semmi köze a Windows-hoz meg az AD-hez. Ugyanis ha a gépek /32-nél tágabb subnet-tel kapják az IP címüket, akkor azon belül mindenkit elérhetőnek tekintenek, és nem küldenek csomagot a GW felé (ami nem feltétlen az AD szerver ráadásul). Ha mégsem éri el a szomszédot így, akkor egyszerűen elérhetetlennek tekinti a keresett gépet (mintha ki lenne kapcsolva/nem létezne), nem próbálkozik "mégis" a GW-en keresztül megszólítani.
Azt nem is értem, hogy az AD hogy jön ilyen L2/L3 relációban ide...
Az más kérdés, hogy a Windows lelki béjékét mennyire borítja fel, ha nem tud a saját alhálózatában beszélni senkivel. Logikusan nem kellene számítania ennek, mert ha csinálsz egy olyan szegmenst amiben csak egyetlen gép van, akkor az simán jól működik, nem sír, hogy nincsenek szomszédok. Ezzel a Horizon-os izolációval szerintem pont azt éred el, hogy minden gép azt hiszi, csak egyedül ő van bekapcsolva a saját alhálózatában, mert nem lát mást.