stanice, které chceš takto omezit, zařaď do nějaké nově vytvořené podskupiny v organizačním stromě (pozor, aby se dědily již existující GPO). Následně v této podskupině vytvoř pomocí GPMC novou GPO, kterou aplikuješ na počítače (nikoli uživatele). V ní nastavíš jedinou věc - právo lokálního přihlášení, které nastavíš pro skupinu "administrators" a "učitelé":

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment

položka

Allow Log on locally

Doporučuju si následně aplikaci GPO v GPMC namodelovat pro PC mimo skupinu a PC ve skupině, pokud to bude OK, tak aplikovat a ideálně na počítačích "vynutit" pomocí příkazu gpupdate /force /boot (není nutno, ale pak je to okmažité)