Ограничение доступа к терминальным серверам в AD
 

Здравствуйте.
Подскажите, пожалуйста, можно ли ограничить доступ пользователей к терминальным серверам?

Более детально о проблеме.
Имеется домен AD с двумя DC. На обоих DC подняты серверы терминалов.
Необходимо, чтобы (1) некоторые пользователи имели доступ ТОЛЬКО к одному терминальному серверу, (2) некоторые - ТОЛЬКО к другому, (3) некоторые - к обоим, а остальные не имели доступа ни к одному.
Пока удалось реализовать только третий вариант (доступ к обоим терминальным серверам). Реализовал через локальную политику контроллера домена, указав название разрешенной группы (Пользователи удаленного рабочего стола) и "запихнув" нужных пользователей в эту группу.

Помогите, пожалуйста реализовать остальные варианты.
Заранее спасибо.

Если бы через "локальную политику", тогда бы у каждого КД она была бы своя. Скорее всего, была задействована общая политка "Политика контроллера домена"
А*если для каждого КД создать свою организационную группу с политикой, производной от базовой "Политика контроллера домена, и прописать в них разные группы пользователей?

Это очень просто решить, разрешив в свойствах учетной записи пользователя логин только на нужные машины, поскольку терминальным пользователям необходим локальный вход на терминальный сервер.

Спасибо, буду пробовать.

P.S. Тему отмечу, как решенную, когда получится :)