Você vai querer ser muito cuidadoso ao usar isso. Certifique-se de testá-lo em sua OU de teste.
Existe uma política do lado do computador para logins locais. Computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas locais > Atribuição de direitos do usuário: Permitir logon localmente. Você deseja adicionar o Grupo de segurança A a esse e atribuir o GPO a uma unidade organizacional com o computador do Grupo de segurança B. Você pode criar uma unidade organizacional ou colocá-los em um grupo e usar a filtragem de segurança no GPO.
Você também deseja exigir ctrl + alt + del para logon. Está em: Computador- > Políticas- > Configurações do Windows- > Configurações de segurança- > Políticas locais- > Opções de segurança: Logon interativo: não requer ctrl + alt + del definido como Desativar.