Столкнулся сегодня с весьма странным явлением и надеюсь на вашу помощь. Есть несколько GPO. В двух из них определены политики ограниченного использования программ. В одном из них (пусть будет DenyApp1Run) уровень безопасности по умолчанию - "Неограниченный" и прописано правило для хэша. Во втором (DenyAppsForGroup1) уровень безопасности по умолчанию - "Запрещено" и прописано несколько путей и несколько хэшей исключений. DenyApp1Run применяются вообще ко всем пользователям. DenyAppsForGroup1 только к группе с условным именем Group1. Ссылки на оба GPO установлены в одну организационную единицу. Приоритет у DenyAppsForGroup1 на единицу выше. Каждый GPO в отдельности работает превосходно, но если включены оба, то члены Group1 не могут запустить вообще ничего. Как будто уровень безопасности "Запрещено" они из политик получили, а исключения нет.

Установите фильтрацию ГП по объектам применения (OU), в противном случае, естественно, выиграет ГП, запрещающая всё. Через панель GPMC или RSOP Вы можете просмотреть выигрывающую политику.

У меня в одном OU могут быть и юзера к которым нужно применять DenyApp1Run и юзера с DenyAppsForGroup1. Чёрт с ней, пусть побеждает, но почему она игнорирует исключения прописанные в этом же GPO? При просмотре результирующей политики они видны кстати.

И если побеждает GPO запрещающая, то почему в инструкции MS пишут, что при определении одного и того же параметра в двух разных GPO, конкурирующих в одной OU, побеждает та, у которой выставлен приоритет выше? Фига, я могу DenyApp1Run выставить хоть на первое место, ситуация от этого не изменится.

Отбой тревоги. Подвело желание усидеть на двух стульях сразу. Политика ограниченного использования программ была прописана и в конфигурации пользователя, и в конфигурации компьютера. После отключения конфигурации компьютера, всё заработало как положено.