"Часть опций" при прямом доступе к конфигу ограничить не получится - одинаковые директивы ниже по конфигу имеют более высокий приоритет. Придётся колхозить скрипт, который разрешал бы менять только нужное + проверять конфиг на валидность.
Вообще, имхо, идея не очень. Лучше сделать общий веб-сервер, и проксировать с него запросы на отдельные для каждого пользователя, которые те смогут ломать как им заблагорассудится.
Сеть - делаете сетевой мост
Виртуалка получит ip от вашего роутера
Получаете «белый» ip у провайдера
Настраиваете проброс порта рдп на роутере к виртуалке
1. А какую цель Вы преследуете, рассчитывая именно на версию 1909 (которая шла в Semi-Annual Channel и ее поддержка прекращена год назад)?
2. MS официально не говорит о такой поддержке
3. Процы поддерживаются
Докер без бубна в WSL (даже версии два) не работает. У меня были потуги обойтись без виртуалки в винде - но на докере терпение закончилось и я взгромоздил настоящую Убунту в виртуалбоксе, что решило 99% проблем.
через iptables это делать нельзя, т.к. оно не для того предназначено, а через ip netns можно, если я правильно уловил суть задачи
посмотри вот эту статью, может наведет на нужные мысли? https://habr.com/ru/post/310646/
Другой вариант - создать WMI фильтр для рабочих станций и применить к политике.
Пример: Namespace = root\CIMv2, Query = select * from Win32_OperatingSystem where ProductType = "1"
Или создать фильтр исключающий хост.
Пример: Namespace = root\CIMv2, Query = SELECT * FROM Win32_ComputerSystem WHERE Name NOT LIKE '%имя или маска%'
