Tarantul

Народ копать надо по следующей схеме:
Схема наложения политик в домене: буквально LSD, т.е. LocalMachine->Site->Domain->OrganizationalUnit.Замечу что domain controller - является специфической OU.Также внимание необходимо обратить на свойства конкретного GPO.Существуют три основных правила:задавливание всех нижестоящих по иерархии GPO,предотвращение задавливания от вышестоящих GPO, фильтрация (к каким учетным записям применять - user,computer и т.д.) и временное отключение GPO.Также необходимо обратить внимание на галочки к каким объектам применять GPO.Domain Security Policies и Domain Controller policies изменять осторожно, желательно не привязывать GPO к сайту.Лучше всего создать OU,прицепить новый GPO к нему и тестировать и тестировать.Важно помнить что по умолчанию групповые политики применяются с задержкой (5 минут к контроллеру домена и около 3 часов к рабочим станциям - если ничего не меняли специально).Существует также форсирование с помощью команды secedit.