Для диагностики применения объектов групповых политик (GPO) необходимо знать порядок их применения. Групповые политики всегда применяются в таком порядке.
1. Локальная.
2. На уровне сайта.
3. На уровне домена.
4. На уровне организационного подразделения (OU).
Существует простое правило, описывающее порядок применения объектов групповых политик: L-S-D-OU. Сначала применяются локальные политики. После этого применяются политики сайта. Политики на уровне сайта переопределяют локальные политики.
После применения политик сайта применяются политики домена, после которых применяются политики подразделения. Для применения политик к пользователю или группе, соответствующий объект должен находится в пути иерархии объекта групповой политики и иметь разрешение Чтение и применение объектов групповых политик (Read and Apply GPO).
Если пользователь входит в группу, котрой запрещено применение объектов групповых политик, объекты групповых политик к этому пользователю применятся не будут. Очень важно понимать, что объекты групповых политик применяются к пользователям и компьютерам, а не к группам.
Например, если учетная запись пользователя входит в подразделение North и в является членом группы из подразделения South, то политики подразделения South не будут применятся к учетной записи пользователя.
Понимание процесса применения объектов групповых политик намного усложняется, если пользователь из одного подразделения или сайта регистрируется на компьютере, входящем в другое подразделение или сайт. В таком случае оказывается полезным понимание петлевой обработки.
Политики паролей нарушают правило L-S-D-OU, так как они настраиваются на уровне домена. Другими словами, если политика паролей существует на уровне домена, на уровне подразделения невозможно создать отличающуюся политику паролей.