Eu acho que a solução seria o filtro WMI (foi assim que eu fiz no meu lugar).
Você cria um filtro WMI que captura as estações de trabalho desejadas.
Você cria um GPO somente com as configurações do usuário e com a filtragem de segurança.
Você coloca os dois juntos e coloca o GPO no container de usuários.
Portanto, a filtragem WMI especifica o compilador ao qual ela se aplica e a filtragem de segurança aos usuários aos quais ela se aplica.
e solte o loopback.
Isso lhe dará mais dores de cabeça do que esperava, pois não se aplica apenas ao GPO especificado em que está configurado, mas a todas as políticas aplicadas aos computadores.
Atualizar
Se você tiver kb3163622 instalado em suas estações de trabalho, poderá fazer o mesmo usando somente grupos de segurança.
Esta atualização altera a maneira como as políticas do usuário são aplicadas.
De agora em diante, as diretivas de usuário são realmente aplicadas sob o contexto de segurança do computador e do usuário.
Portanto, se você colocar na filtragem de segurança desse GPO os computadores e usuários aos quais deseja aplicar, isso fará o mesmo truque que o WMI (supondo que você não esteja indo para alguma consulta complexa).