Le group policy (chiamate anche GPO o Group Policy Object) sono un insieme di regole che controllano l'ambiente di lavoro di utenti e computer legati ad un dominio.
Forniscono la gestione centralizzata e la configurazione di sistemi operativi, applicazioni e le impostazioni degli utenti in un ambiente Active Directory.
Per default le Group Policy vengono aggiornate sulle postazioni client e server in automatico ogni [90 minuti + un tempo aggiuntivo random che va tra 0 e 30 minuti] quindi nella peggiore delle ipotesi vengono applicate al massimo dopo 120 minuti ad eccezione dei Domain Controller sui quali le policy vengono applicate ogni 5 minuti.
Se vogliamo applicarle instantaneamente bisognerà eseguire il comando GPUPDATE/FORCE da un terminale DOS (senza diritti da amministratore).
Esiste anche un ordine con il quale vengono processate e quindi applicate le policy sulle postazioni ed è il seguente:
1) GPO sul PC locale (tramite Criteri di sicurezza locali)
2) GPO linkate a livello Site
3) GPO linkate a livello Dominio
4) GPO linkate a livello OU
Per controllare se e quali policy vengono applicate su una postazione è possibile eseguire il comando GPresult/R (in una schermata DOS non da amministratore) per vedere le policy che vengono applicate lato utente, mentre eseguendo il comando GPresult/R /user nome.cognome /scope computer (eseguito in una finestra DOS da amministratore) verranno visualizzate le policy applicate lato computer sull'utente loggato.