¿Cómo omitir el procesamiento de bucle invertido de GPO para algunos usuarios?

Como probablemente sepa, el procesamiento de bucle invertido es una característica de las Políticas de grupo de Active Directory que aplica la configuración de usuario en un GPO a cualquier usuario que inicie sesión en las computadoras dentro del alcance del GPO (mientras que el comportamiento estándar sería aplicar la configuración de usuario solo si la cuenta de usuario en realidad se encuentra dentro del alcance del GPO). Esto es útil cuando desea que todos los usuarios que inicien sesión en una computadora específica reciban alguna política de usuario, independientemente de dónde se encuentren realmente sus cuentas de usuario en AD.

El problema: cuando el procesamiento de bucle invertido está habilitado, un GPO que contiene la configuración del usuario se aplica a todos los que usan esas computadoras, y no puede evitarlo usando ACL en el GPO, porque en realidad no se aplica a los usuarios , sino a las computadoras .

La pregunta: ¿cómo se puede omitir el procesamiento de bucle invertido para usuarios específicos que necesitan iniciar sesión en esos equipos pero que no deberían estar sujetos a esa configuración de políticas?

Caso en cuestión: hay varios servidores de terminal donde los GPO con procesamiento de bucle invertido se utilizan para imponer fuertes restricciones de usuario a todos los que inician sesión en ellos (básicamente, solo deberían poder ejecutar un montón de aplicaciones aprobadas por la compañía); pero esto se aplica incluso a los administradores de dominio , que por lo tanto no pueden iniciar un símbolo del sistema o abrir el administrador de tareas. En este escenario, ¿cómo puedo decirle a AD que no aplique esa configuración si el usuario que inicia sesión pertenece a un grupo específico (como los Administradores de dominio)? Alternativamente, incluso la solución opuesta ("solo aplicar esa configuración a los usuarios que pertenecen a un grupo específico") estaría bien.

Pero por favor, recuerde que estamos hablando del procesamiento de bucle invertido aquí. Las políticas se aplican a las computadoras , y la configuración del usuario dentro de ellas se aplica a los usuarios solo porque están iniciando sesión en esas computadoras (sí, sé que es confuso, el procesamiento de bucle invertido es una de las cosas más difíciles de entender sobre las Políticas de grupo).

Creo que la solución sería el filtrado WMI (así es como lo hice en mi lugar).

Crea un filtro WMI que captura las estaciones de trabajo que desea.
Puede crear un GPO solo con la configuración del usuario y con filtrado de seguridad.
Pones los dos juntos y colocas el GPO en el contenedor de los usuarios.

Por lo tanto, el filtrado de WMI especifica el comptuer al que se aplica y el filtrado de seguridad de los usuarios a los que se aplica.

Y suelta el loopback.
Le dará más dolores de cabeza de los que esperaba, ya que no se aplica solo al GPO especificado en el que está configurado, sino a todas las políticas aplicadas a las computadoras.

Actualización
Si tiene kb3163622 instalado en sus estaciones de trabajo, puede hacer lo mismo utilizando solo grupos de seguridad.
Esta actualización cambia la forma en que se aplican las políticas de usuario.
A partir de ahora, las políticas de usuario se aplican realmente tanto en el contexto de seguridad de la computadora como del usuario.
Por lo tanto, si coloca el filtro de seguridad de ese GPO en las computadoras y los usuarios a los que desea que se aplique, eso hará el mismo truco que el WMI (suponiendo que no vaya a realizar una consulta compleja).

Una denegación de ACE para el permiso Aplicar directiva de grupo para los principales de seguridad en cuestión (Usuario / Grupo) en las políticas de grupo con la configuración de usuario en la unidad organizativa del equipo evitará que se apliquen las políticas de grupo de usuarios vinculadas en la unidad organizativa del equipo.

Sin embargo, si el procesamiento de la política de bucle invertido está configurado para el modo Reemplazar, las políticas del grupo de usuarios que están dentro del alcance de la ubicación de la cuenta de usuario (y no para la computadora) serán ignoradas.