No deberías tener ningún usuario en TL4 a menos que los hayas puesto manualmente allí (es un nivel designado por el administrador). Como dijeron los demás, deberías poder establecer el nivel predeterminado para los nuevos usuarios en TL2 y hacer que los requisitos de entrada sean tan bajos que básicamente todos lleguen allí casi de inmediato. Luego puedes ejecutar un comando para asegurarte de que todos sean colocados inmediatamente en su nivel de confianza asignado automáticamente (con la excepción de los usuarios bloqueados).
Si tienes usuarios con niveles de confianza bloqueados (y quieres deshacerte de eso), esto debería ayudar.
Editar: Acabo de ver que @rorycb dio una forma mucho más directa de hacer esto. Esa es probablemente la mejor opción.