Como ignorar o processamento de loopback do GPO para alguns usuários?

Como você provavelmente sabe, o processamento de loopback é um recurso das Diretivas de Grupo do Active Directory que aplica configurações de usuário em um GPO a qualquer usuário que efetua logon em computadores no escopo do GPO (enquanto o comportamento padrão seria aplicar configurações de usuário apenas se a conta do usuário está realmente localizado no escopo do GPO). Isso é útil quando você deseja que todos os usuários que efetuam logon em um computador específico recebam alguma política de usuário, independentemente de onde suas contas de usuário estejam realmente localizadas no AD.

O problema: quando o processamento de loopback está ativado, um GPO contendo configurações do usuário é aplicado a todos que usam esses computadores, e você não pode ignorar isso usando ACLs no GPO, porque na verdade não é aplicado aos usuários , mas aos computadores .

A pergunta: como o processamento de loopback pode ser ignorado para usuários específicos que precisam fazer logon nesses computadores, mas não devem estar sujeitos a essas configurações de diretiva?

Caso em questão: existem vários servidores de terminal nos quais os GPOs com processamento de loopback são usados ​​para impor restrições pesadas ao usuário em todos os que efetuam logon neles (eles basicamente só devem poder executar vários aplicativos aprovados pela empresa); mas isso se aplica mesmo a administradores de domínio , que são incapazes de iniciar um prompt de comando ou abrir o gerenciador de tarefas. Nesse cenário, como posso dizer ao AD para não impor essas configurações se o logon do usuário pertencer a um grupo específico (como Administradores de Domínio)? Como alternativa, mesmo a solução oposta ("apenas aplique essas configurações a usuários pertencentes a um grupo específico") seria adequada.

Mas, por favor, lembre-se de que estamos falando sobre processamento de loopback aqui. As políticas são aplicadas aos computadores e as configurações do usuário dentro delas são aplicadas aos usuários apenas porque eles estão fazendo logon nesses computadores (sim, eu sei que é confuso, o processamento de loopback é uma das coisas mais complicadas para corrigir as diretivas de grupo).

Acho que a solução seria a filtragem WMI (foi assim que fiz no meu lugar).

Você cria um filtro WMI que captura as estações de trabalho que deseja.
Você cria um GPO apenas com as configurações do usuário e com filtragem de segurança.
Você coloca os dois juntos e coloca o GPO no contêiner de usuários.

Portanto, a filtragem WMI especifica o computador ao qual se aplica e a segurança que filtra os usuários aos quais se aplica.

E solte o loopback.
Isso lhe dará mais dores de cabeça do que você esperava, pois não se aplica apenas ao GPO especificado em que está configurado, mas a todas as políticas aplicadas aos computadores.

Atualização
Se você tiver o kb3163622 instalado em suas estações de trabalho, poderá fazer o mesmo usando apenas grupos de segurança.
Esta atualização altera a maneira como as políticas do usuário são aplicadas.
A partir de agora, as políticas do usuário são realmente aplicadas no contexto de segurança do computador e do usuário.
Portanto, se você colocar na filtragem de segurança desse GPO os computadores e usuários aos quais deseja aplicar, isso fará o mesmo truque que o WMI (supondo que você não esteja fazendo uma consulta complexa).

A negação da ACE para a permissão de Diretiva de Grupo Apply para as entidades de segurança em questão (Usuário / Grupo) nas diretivas de grupo com as configurações de usuário na UO do computador impedirá a aplicação das diretivas de grupo vinculadas à UO do computador.

No entanto, se o processamento da política de loopback estiver configurado para o modo Substituir, as políticas do grupo de usuários que estão no escopo do local da conta do usuário (e não do computador) serão ignoradas.