Les GPO ça s'applique à des ORDINATEURS ou à des UTILISATEURS. Donc dans tes OU il faut mettre tes GPO là où il y a tes UTILISATEURS ou tes ORDINATEURS.
Ensuite tu peux filtrer pour appliquer uniquement une sous population via les groupes de sécurité. C'est à dire que si tu as une OU où il y a UTILISATEUR 1, 2 ,3 et une autre OU où il y a UTILISATEUR 4, tu appliques la GPO sur la première OU, par défaut elle va s'appliquer à l'utilisateur 1 2 3 et pas à 4. Si tu dégagues utilisateurs authentifié pour mettre un groupe qui contient 1 2 4, la GPO ne va s'appliquer qu'à UTILISATEUR 1 et 2, pas à 3 (filtrage de sécu), pas à 4 (GPO pas liée à son OU).
Ensuite toi tu veux conditionner des settings utilisateurs en fonction de l'ordinateur auquel il se connecte, pour ça on utilise le loopback processing mode qui permet d'appliquer des settings utilisateurs sur des objets ordinateurs. Pour cela tu configures tes settings utilisateurs dans un GPO. Tu la lies non pas à l'OU contenant les UTILISATEURS mais sur l'OU contenant les serveurs TSE. Tu actives au niveau machine le loopback processing mode (en merge ou en replace selon que tu veuilles faire un merge des settings des utilisateurs + ceux de ta/tes GPO loopback ou vraiment remplacer les settings).