Как обойти обработку петли GPO для некоторых пользователей?

Как вы, вероятно, знаете, петлевая обработка - это функция групповых политик Active Directory, которая применяет пользовательские настройки в объекте групповой политики к любому пользователю, который входит в систему на компьютерах в области действия объекта групповой политики (тогда как стандартным поведением будет применение пользовательских настроек только в том случае, если учетная запись пользователя на самом деле находится в области действия объекта групповой политики). Это полезно, когда вы хотите, чтобы все пользователи, входящие в систему на определенном компьютере, получали определенную политику пользователя, независимо от того, где их учетные записи фактически расположены в AD.

Проблема: когда включена петлевая обработка, объект групповой политики, содержащий пользовательские настройки, применяется ко всем, кто использует эти компьютеры, и вы не можете обойти это, используя списки ACL для объекта групповой политики, потому что на самом деле он применяется не к пользователям , а к компьютерам .

Вопрос: как обойти петлевую обработку для определенных пользователей, которым необходимо войти в систему на этих компьютерах, но на них не должны распространяться эти параметры политики?

Показательный пример: есть несколько терминальных серверов, на которых объекты групповой политики с обработкой по шлейфу используются для обеспечения жестких ограничений пользователей для всех, кто входит в них (в основном они должны иметь возможность запускать только несколько утвержденных компанией приложений); но это относится даже к администраторам домена , которые, таким образом, оказываются не в состоянии даже запустить командную строку или открыть диспетчер задач. В этом случае, как я могу сказать AD не применять эти параметры, если входящий в систему пользователь относится к определенной группе (например, администраторы домена)? Альтернативно, даже противоположное решение («применять эти настройки только к пользователям, принадлежащим к определенной группе») будет приемлемым.

Но, пожалуйста, помните, что речь идет об обработке петли здесь. Политики применяются к компьютерам , а пользовательские настройки внутри них применяются к пользователям только потому, что они входят в систему на этих компьютерах (да, я знаю, что это сбивает с толку, обработка обратной связи - одна из самых хитрых вещей, чтобы получить правильные сведения о групповых политиках).

Я думаю, что решением будет фильтрация WMI (вот как я это сделал на своем месте).

Вы создаете фильтр WMI, который ловит те рабочие станции, которые вы хотите.
Вы создаете объект групповой политики только с пользовательскими настройками и с фильтрацией безопасности.
Вы соединяете их вместе и помещаете объект групповой политики в контейнер пользователей.

Таким образом, фильтрация WMI определяет компьютер, к которому он применяется, и безопасность, фильтрующую пользователей, к которым он применяется.

И брось петлю.
Это даст вам больше головной боли, чем вы ожидали, так как это относится не только к указанному объекту групповой политики, в котором он настроен, но и ко всем политикам, применяемым к компьютерам.

Обновление
Если на ваших рабочих станциях установлен kb3163622 , вы можете сделать то же самое, используя только группы безопасности.
Это обновление изменяет способ применения пользовательских политик.
Отныне пользовательские политики фактически применяются как в контексте компьютера, так и в контексте безопасности пользователя.
Так что, если вы включите фильтрацию безопасности этого объекта групповой политики для компьютеров и пользователей, к которым вы хотите его применить, это будет делать то же самое, что и WMI (при условии, что вы не собираетесь выполнять какой-либо сложный запрос).

Отказ в разрешении ACE for Apply Group Policy для рассматриваемых участников безопасности (пользователь / группа) для групповых политик с настройками пользователя в подразделении компьютера не позволит применять групповые политики пользователей, связанные с подразделением компьютера.

Однако если обработка политики обратной связи настроена для режима замены, групповые политики пользователей, которые находятся в области расположения учетной записи пользователя (а не компьютера), будут игнорироваться.