[exo]

Цитата monkkey:

Да, если терминальный сервер будет вне домена (Ваш п. 1) »

я имел ввиду на разные сервера разнести.

Цитата monkkey:

Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер. »

Цитата exo:

2) создать группу для терминального входа на данный сервер. »

Данная группа предназначена только для работы на терминале.
Т.е. пользователям этой группы нужно запретить интерактивный вход в систему.

Пример.
Есть OU - "managers". Ней есть 20 пользователей и 2 группы (по 10 пользователей в каждой).
1 группа - "менеджеры офиса".
2 группа - "менеджеры регионов".

Создаём GPO, связываем с OU, и в фильтрах устанавливаем группу "менеджеры регионов".
Если пользователи группы "менеджеры офиса" зайдут на терминал (если им разрешено), то GPO к ним не применится, т.к. в GPO в фильтрах нет этих пользователей.

monkkey, я понял вопрос у автора как привязать GPO к группе безопасности.