Я хочу ограничить использование GPO для всех пользователей, выполняющих вход на терминальный сервер.
Должен ли я просто определить объект компьютера терминального сервера как область действия, а затем исключить моих пользователей-администраторов из-под действия этого объекта групповой политики.
К сожалению, объект находится в подразделении со многими другими серверами, и его перемещение не представляется возможным из-за других GP. (не спрашивайте)
Достаточно ли просто создать новый GP и применить его только к этому одному объекту компьютера, чтобы он мог применяться только к пользователям, входящим в этот объект?
Вы не можете использовать фильтр безопасности только для применения GPO к серверу терминалов. Это приведет к обработке только политики конфигурации компьютера, конфигурация пользователя не будет применена, поскольку пользователь не включен в фильтр политики. Правильная причина - использовать фильтр WMI, подобный следующему:
Select * From Win32_ComputerSystem Where Name = "ComputerName"