Pueden filtrarse las polĂ­ticas de cuentas por usuarios?

El tema nos ha traido de cabeza unos días, intentando ver si era posible establecer distintas políticas de cuentas para diferentes usuarios. Intentamos establecer distintas GPO a nivel dominio, filtrando la aplicación de las mismas, sin ningún resultado positivo. El fallo estaba en que intentábamos filtrar las GPO por usuario, cuando las políticas de cuentas se establecen a nivel equipo. Pero, a que cuentas de equipo se aplican y como funcionan realmente? a la cuenta de equipo en que inicia sesión un usuario? a cualquier DC?


Tras varias pruebas, en las que me he servido de Virtual Server para montar varias máquinas virtuales con varios DCs y clientes), he llegado a la conclusión de que definitivamente las políticas de cuentas se aplican exclusivamente a la cuenta del DC que actúa como PDC. Para hacer las pruebas, por supuesto después de descartar el filtrado por usuarios que no funciona porque esas políticas no se aplican a cuentas de usuario, he creado dos GPOs adicionales a nivel dominio, colocándolas por encima de la default domain policy para que tengan prioridad sobre aquella, y les he modificado la seguridad de ambas para que se apliquen una sólo a la cuenta del actual PDC y la otra sólo a la cuenta de otro DC (quitando la aplicación a Authenticated Users, grupo que incluye a las cuentas de equipo del dominio). En cada una de estas GPO modifico las políticas de cuentas para que difieran de la otra y de la que tenemos en la default domain policy. También, antes he comprobado que no hace nada aplicar una de estas GPO a cuentas de equipo que no sean el PDC. Como curiosidad, las GPO deben estar todas en la raiz del dominio, pues si pongo una en la OU “Domain Controllers”, aunque la cuenta del PDC siempre estará all, no se aplican estas polticas.
Ahora actualizo la aplicación de las GPO tanto en el PDC como en el otro DC y en un cliente. Desde cualquiera de ellos con AD Users and Computers, o desde el cliente mismo con el procedimiento estándar de cambio de contraseña, siempre se obliga a las políticas definidas en la GPO que sólo se aplicaba al PDC.
Si ahora cambio el rol de emulador PDC al segundo DC, sin necesidad de volver a actualizar GPO ni nada veo que en las mismas condiciones de cambio de contraseña ahora las políticas que se aplican son las de la GPO que sólo se aplicaba a este segundo DC.
Conclusión: no es posible filtrar de ninguna manera conocida las políticas de cuentas, siendo aplicables solamente las que se apliquen a nivel dominio con mayor prioridad sobre la cuenta del DC que haga de PDC.