Filtro WMI no GPO por UserName / UseGroup

Temos a necessidade de bloquear determinados usuários em um desktop muito restritivo em nossos servidores de terminal, bem como apenas atender a eles um único aplicativo que será iniciado automaticamente. Eu tenho uma configuração de GPO para cada necessidade, mas não consigo descobrir como aplicar esses GPOs apenas ao (s) usuário (s) específico (s) de que precisamos para impor isso.

O filtro WMI foi meu primeiro palpite sem mergulhar no Loopback de Política de Grupo (o que pode causar problemas com nossa estrutura atual do AD e GPOs associados). Meu problema é escrever a instrução WQL para atender às minhas necessidades.

Eu tentei [SELECT * FROM W32.ComputerSystem WHERE UserName = 'domínio \ nome_do_usuário'], mas essa consulta sempre forneceu um falso retorno. Meu palpite é por causa do ambiente do servidor de terminal, mas não sou positivo. Olhou um pouco para a classe W32.TSAccount, mas também não viu nada útil.

Alguém tem idéias ou literatura que você poderia me referir também para que eu possa mergulhar ainda mais nisso? Qualquer ajuda seria MUITO apreciada como im no Guru AD / GPO.