Mi capita spesso di leggere sui NG domande inerenti alle GPO che spesso si risolvono spiegando il loro funzionamento di base, quindi ho deciso di scrivere un post (non tecnico) sulle basi di applicazione della GPO
Proviamoci......

I parametri settabili all'interno delle GPO si dividono in due gruppi:
- Parametri COMPUTER ( visibili al di sotto del nodo "Computer settings")
- Parametri UTENTE     ( visibili al di sotto del nodo "Users settings")

Qualche considerazione:
1) Le GPO non si applicano hai GRUPPI (come vedremo dopo si possono filtare su base gruppo);questo significa che se io creo una GPO e la collego (linkare) ad una OU contenente un gruppo questa GPO non avrà alcun effetto.

2) Quando creo una GPO posso settare parametri per soli "Utenti", per soli "Computer" o per Entrambe le categorie
    Nel caso abbia settato parametri solo UTENTE dovrò linkare la policy ad una OU contenente gli UTENTI a cui voglio applicare le policy.
    Nel caso abbia settato parametri solo COMPUTER dovrò linkare la policy ad una OU contenente i COMPUTER a cui voglio applicare le policy.
    Nel caso abbia settato parametri "UTENTE e COMPUTER" dovrò linkare la policy ad una OU contenente "UTENTI e COMPUTER" a cui voglio applicare le policy.
Abbiamo anche la possibilita di "linkare" la stessa GPO a più OU contemporaneamente , quindi nel terzo caso potrò linkare la stessa GPO a due (o più) OU diverse.( es ad una riservata a soli UTENTI e una per soli COMPUTER)

In un tipico scenario aziendale avrà OU dedicate a tutti gli utenti e OU dedicate a tutti i computer (magari con suddivisioni al loro interno), quindi voledo fare un esempio pratico proviamo a prendere un alberatura AD di questo tipo:

OUPadre
  I___OUComputer
         I__OUComputerSEDE
         I__OUComputerREMOTE
         I
         OUUser
         I__OUUserSEDE
         I__OUUserREMOTE
         I
         OUGroups
         I__OUGroupsComputers
         I__OUGroupsUsers

tenendo presente che nelle rispettive OUComputer avrò solo COMPUTER, nelle rispettive OUUser avrò solo UTENTI e nelle OUGroups avrò solo GRUPPI.

A questo punto creo la mia GPO e setto un impostazione nel nodo COMPUTER e un impostazione nel nodo USER:
1) Sicuramente non posso linkarla alle OUGroups (le GPO non si applicano ai gruppi)
2) Potrò linkarla alla/e OU Computer
3) Potrò linkarla alla/e OU Users
4) Posso creare due GPO distinte : una con soli settaggi UTENTE e una con soli settaggi COMPUTER e linkarle alle OU di riferimento.

Nel caso descritto la policy verrà applicata a tutti gli ogetti presenti nella OU di riferimento.

Una domanda ricorrente è: ma se voglio solo applicare la policy a un gruppo specifico di COMPUTER o UTENTI come faccio?
La risposta è lavorare con i "Security Filter"(presente nel TAB "scope" della GPMC). Di default quando si creano delle GPO la policy è applicata al seguente gruppo "Authenticated Users"(che comprende "tutti gli utenti e computer autenticati da un Domain Controller"), quindi per poter gestire un'applicazione granulare della nostra GPO dovrò modificare  aggiungendo un gruppo creato ad hoc e rimuovendo quello di default, facendo attenzione ad aggiungere un gruppo contenete i computer se la policy setta parametri computer e utenti se la policy contiene parametri utente (in caso di policy con entrambi i settaggi dovrò aggiungere entrambi i gruppi).
In questo caso potrò linkare la GPO direttaemente alla OUpadre in quanto sarà solo applicarta al gruppo computer e al gruppo utente specifciato nei security filter.

Altra domanda che puoò sorgere è :"come posso applicare la GPO ad un gruppo di utenti tranne ad 1o più membri di un gruppo?"Io consiglio sempre di creare un gruppo ad HOC ma per dover di cronaca esiste un pulsante nella GPMC (Group Policy Management Console) "Advanced" sotto il tab "Delegation" in cui posso settare il "Deny" (negare) l'applicatione della policy, ad uno specifico utente /computer (facente parte del gruppo a cui vogli apllicare la GPO) , semplicemente aggiungendolo alla lista e "fleggare" il quadratino sotto la colonna "deny" in corripondenza della voce "apply group policy".

Penso che questo sia il primissimo passo (ripeto primissimo) da fare per controllare il perchè una GPO non si è applicata.

Sperando che possa essere utile .....vi rimando al prossimo post

Fury