GPO. Применить политику к группе пользователей.

По умолчанию политика пользователя привязана к контейнеру и соответственно всем пользователям внутри него (прошедшим аутентификацию).
Задача. Сделать гибкую настройку, не перемещая объекты AD.
Решение.

1. Создаем политику. Подкручиваем в политике пользователя что нужно. 
2. Настраиваем значение "Security Filtering". Указываем здесь группу к которой применять политику. Например "mydomain-users"
3. Если нужно исключить например "mydomain-asu" (в предположении, что члены группы "mydomain-asu" входят также в группу "mydomain-users"). Идем на вкладку "Deligation". Добавляем сюда группу "mydomain-asu" - "Advanced" - даем "full" - !!! снимаем последнюю галочку "Apply group policy" . 

Хитрость проста: На применение политики также нужны права.  Дайте их кому необходимо или заберите у избранных.

Яркий пример зачем это нужно - запрещаем пользователям командную строку, но оставляем разрешение для сотрудников асу.