Hola, pueden haber dos opciones.
1) En el CUCM local (el que tiene registrado el grupo de usuarios): En el sip trunk que tienes configurado allí, tiene una sección de "inbound calls", donde puedes poner un CSS que no pueda acceder a las extensiones de esos usuarios.
2) En el CUCM remoto: sería que configures unos route patterns exclusivos para cada extensión y en la parte de "route option" indicas "block this pattern".
Espero que sea de utilidad, si es así por favor califica el post.
Saludos,
- Adrián.