Você já passaram por um situação em que o mesmo usuário precise de políticas diferentes?
Por exemplo, você tem na sua empresa a figura de uma recepção para pagamento de faturas. Quando um operador usa um computador destinado para o software de recebimento financeiro (caixa), você quer a máquina toda travada, mas quando ele usar uma máquina de uso comum, você pode liberar para ele uma política de segurança mais branda.
Outro exemplo comum, você usa um servidor Remote Deskto Service na sua rede e precisa que as políticas que um usuário recebe quando usa sua estação de trabalho comum seja diferente das políticas recebidas quando ele se loga no servidor.
Uma A.T.E (Adaptação Técnica Emergencial, vulgo gato), seria criar para este usuário duas contas de usuários, uma que ele deve usar quando seus acessos precisam mínimos e outro quando seus acessos podem ser mais comuns. Mas isso pode complicar as coisas, principalmente se você usa outras ferramentas que usam o serviço de diretório do AD, como Lync, OCS, Exchange, etc.)
Agora uma solução bonita para este problema é usar um recurso chamado: User Group Policy loopback processing mode. Isso funciona assim:
1. Crie uma OU nova e coloque as máquinas que precisam de uma política mais especial. Nos exemplos acima, seriam as máquinas de caixa ou os servidores de RDP;
2. Abra o GPMC e crie uma GPO linkada à OU que vc criou no passo anterior.
3. Dentro desta GPO, edite a seguinte política:
Policies >> Administrative Templates >> System >> Group Policy >> User Group Policy loopback processing mode.
Ao habitar a política, poderemos notar dois modos. Replace e Merge.
Ao habilitar esta política, você faz com que a seção desta GPO de "User Configuration" seja aplicada ao usuário que se logar nesta máquina, independente de qual OU esteja o objeto do usuário. Mesmo que o usuário não esteja nesta OU, mas apenas o computador, a GPO será aplicada.
Os modos Replace e Merge, significam o seguinte:
Replace: A(s) GPO(s) que seriam aplicadas ao usuário por estarem linkadas à OU do usuário, serão ignoradas. No lugar dela, serão aplicadas as configurações de usuário da GPO linkada à OU do computador.
Merge: Ele aplica a(s) GPO(s) dos usuários, porém, as configurações de usuário definidas na GPO de loopback aplicada ao computador será prioritária em relação às configurações do usuário.
