一部のユーザーのGPOループバック処理をバイパスする方法は？

おそらくご存じのとおり、ループバック処理は、GPOのスコープ内のコンピューターにログオンするすべてのユーザーにGPOのユーザー設定を適用する Active Directoryグループポリシーの機能です（標準的な動作は、ユーザーアカウントがGPOのスコープ内に実際に配置されています）。これは、ユーザーアカウントが実際にADのどこにあるかに関係なく、特定のコンピューターにログオンするすべてのユーザーにユーザーポリシーを付与する場合に便利です。

問題：ループバック処理が有効になっている場合、ユーザー設定を含むGPOはそれらのコンピューターを使用するすべてのユーザーに適用され、GPOでACLを使用してこれをバイパスすることはできません。これは、実際にはユーザーではなくコンピューターに適用されるためです。

質問：それらのコンピューターにログオンする必要があるが、それらのポリシー設定の影響を受けないようにする必要がある特定のユーザーに対して、ループバック処理をバイパスするにはどうすればよいですか？

適例：ループバック処理を備えたGPOを使用して、ログオンするすべてのユーザーに重いユーザー制限を適用するターミナルサーバーがいくつかあります（基本的に、企業が承認した一連のアプリケーションしか実行できないはずです）。しかし、これはDomain Adminsにも当てはまるため、コマンドプロンプトを起動したり、タスクマネージャーを開いたりすることもできません。このシナリオで、ログオンしているユーザーが特定のグループ（Domain Adminsなど）に属している場合に、これらの設定を強制しないようにADに指示するにはどうすればよいですか？または、反対のソリューション（「特定のグループに属するユーザーにのみこれらの設定を適用する」）でも問題ありません。

ただし、ここではループバック処理について話していることを思い出してください。ポリシーはコンピューターに適用され、コンピューター内のユーザー設定はユーザーがそれらのコンピューターにログオンしているためにのみ適用されます（そうですね、わかりにくいですが、ループバック処理はグループポリシーについて正しく理解するのが最も難しい作業の 1つです）。

解決策は、WMIフィルタリングだと思います（このようにして自分の場所で行いました）。

必要なワークステーションを捕捉するWMIフィルターを作成します。
ユーザー設定のみ、およびセキュリティフィルタリングを使用してGPOを作成します。
この2つを組み合わせて、GPOをユーザーコンテナーに配置します。

そのため、WMIフィルタリングは、それが適用されるコンピューターと、それが適用されるユーザーをフィルタリングするセキュリティを指定します。

ループバックをドロップします。
これは、それが構成されている特定のGPOにのみ適用されるのではなく、コンピューターに適用されるすべてのポリシーに適用されるため、交渉したよりも多くの頭痛の種になります。

更新ワークステーションにkb3163622がインストールされて
いる場合、セキュリティグループのみを使用して同じことを行うことができます。 このアップデートでは、ユーザーポリシーの適用方法が変更されています。 これ以降、ユーザーポリシーは実際にはコンピューターとユーザーのセキュリティコンテキストの両方に適用されます。 したがって、そのGPOのセキュリティフィルターを適用するコンピューターとユーザーに適用すると、WMIと同じトリックが実行されます（複雑なクエリを実行しない場合）。

問題のセキュリティプリンシパル（ユーザー/グループ）に対して、コンピューターOUのユーザー設定を使用したグループポリシーの[グループポリシーの適用を拒否する]アクセス許可は、コンピューターOUでリンクされたユーザーグループポリシーが適用されないようにします。

ただし、ループバックポリシー処理が置換モードに構成されている場合、ユーザーアカウントの場所のスコープにある（コンピューターではなく）ユーザーグループポリシーは無視されます。