Consegui resolver... A sincronização com o AD do 2008 tava incompleta... por 2 causas...
A primeira era questão de acentuação nos nomes Windows 2000 dos grupos, como "Adminstradores de domínio"... então retirei o acento e essa parte foi resolvida.
Daí surgiu um outro problema, que é a questão do tamanho dos nomes... por exemplo: "Adminstradores de dominio"... o zentyal nomeava eles para "grp~~Administradores~~de~~dominio"... e então passava do limite de 31 caracteres e causava falha na sincronização...
Resumindo... Peguei os grupos e troquei os nomes windows 200 deles para os nomes em ingles.. ficaram mais curtos e sem acentos e a sincronização foi OK.
Por último, nas configs de rede do navegador, em vez de colocar o endereço IP do proxy, coloquei seu FQDN: proxy.hospital.com.br e passou...
Daí foi só aplicar as regras corretamente e a navegação foi filtrada...
-----------( Até aqui tá OK na parte da sincronização... O único problema vem abaixo )-----------
O problema agora é na questão de navegação... estou com vários dominios que estão 100% livres pra navegar que ora dá (101) Network is unreachable ora acessa mas o site vem desconfigurado, com muitas imagens quebradas...
Detalhe, no próprio zentyal pinga nos dominios, e no cliente não pinga!