[paranoya]

kirillius, В случае с ГП на фаерволле у меня косяк в тексте выше - настройки фаерволла делаются в разделе "Компьютер" и линковка к OU с юзерами ничего не даст. Нужно её линковать к OU с компьютерами и выделять нужные компьютеры либо в отдельное OU, либо в фильтрации ГП указать группу безопасности с доверенными компьютерами. В этом случае, если юзеры не перемещаются между компьютерами, ГП будет отрабатывать нормально.
Ели же юзеры могут работать с разных мест, то нужно будет в фильтрацию вместо группы доверенных компьютеров внести группу доверенных юзеров, а в политике установить режим "замыкания на себя". После чего проверить как она работает на нужных и не нужных юзерах. так как сдаётся мне, что придётся делать ещё одну ГП, которая будет правило запрета отключать для нужных юзеров.