[2003 Server] Group Policy toepassen, enkel op TS*

Gegeven:
Domain Controller (Windows 2003 Server SP1)
Terminal Server (Windows 2003 Server SP1)
Werkstation (Windows XP Pro Sp2)

Wat ik wil is het volgende:
Een group policy toepassen op de groep domain users alleen als zij inloggen via een terminal server sessie.
De policy moet dus alleen toegepast worden op de terminal server en niet als een user op het domein inlogt via een werkstation op het werkstation.

Wat ik heb geprobeerd:
Een OU gemaakt met daarin de Terminal Server, vervolgens een policy gezet op deze OU waar ik bij security de groep domain users toevoeg en deze een allow op read en apply group policy geef.
De policy wordt dan niet toegepast.
Als ik vervolgens een domain user toevoeg in deze OU wordt de policy wel toegepast.
Gevolg is wel dat deze policy op welke machine dan ook toegepast wordt en niet alleen op de Terminal Sever.

Hoe is dit te realiseren?

Loopback policy heeft inderdaad het truckje gedaan, thanks!

Ik zit nu alleen wel met een ander probleem, weet alleen niet of ik dat dan ook in dit topic mag posten?
Ik heb het als volgt ingericht:

• OU Bedrijfsnaam
  • OU Server
  • OU Users
  • OU Groups
  • OU Printers

De Terminal Server staat in OU Server, op deze OU zitten twee GPO's:
-Domain Admins
-Domain Users
In deze volgorde, dus domain admins heeft de hoogste prioriteit, block policy inheritance aan.

-GPO Domain Admins: Loopback policy aan, voor de rest alles op "not configured"
-GPO Domain Users: Loopback policy aan, en voor de test "force classic start menu" en "remove run" aan.

De namen van de GPO's geven al aan welke groep de apply rechten heeft.

Het probleem is dat de administrators de policy van de domain users krijgen.
Hoe kan dit?? de prio volgorde staat goed en qua rechten zou dit ook niet moeten kunnen.
Zie ik nu iets over het hoofd?

yep, dat was em
thanx!

ik ging er eigenlijk blind van uit dat er deny apply policy werd bedoeld, dus er is geen nood aan de man