Почему политики не активируются в организационном подразделении (OU)?

Здравствуйте!

Проблема с тем, что политики групп (GPO) не применяются на организационных подразделениях (OU), может быть вызвана несколькими факторами. Вот несколько направлений, в которых стоит провести диагностику:

### 1. Проверьте наследование

Убедитесь, что настройки наследования GPO не отключены для вашего OU. Если для OU отключено наследование, политики, настроенные на уровне домена, не применяются. Проверьте это в управлении GPO:

- Откройте "Group Policy Management".
- Найдите нужное OU, щелкните правой кнопкой мыши и выберите "Properties".
- Перейдите на вкладку "Group Policy" и посмотрите, не отключено ли там наследование.

### 2. Проверьте блокировку GPO

Если на OU установлена блокировка GPO, это может мешать применению политик. Проверьте настройки блокировки для вашего OU и отключите ее, если это необходимо.

### 3. Убедитесь, что объекты имеют правильные разрешения

Проверьте, что у объектов (пользователей и компьютеров), которым должны применяться GPO, есть необходимые разрешения для её применения. Обычно для этого используются разрешения доступа на уровне GPO:

- Откройте "Group Policy Management".
- Выберите нужную GPO и щелкните правой кнопкой мыши, затем выберите "Edit".
- Перейдите на вкладку "Delegation" и проверьте разрешения на доступ.

### 4. Проверьте фильтрацию по безопасности

Проверьте, какие группы пользователей или компьютеров имеют доступ к GPO. Если разрешение задано только для определённых групп, убедитесь, что объекты, к которым применима политика, входят в эти группы.

### 5. Убедитесь в правильной конфигурации GPO

Проверьте, что настройки внутри GPO корректны и что они действительно предполагают применение на уровне OU. Возможно, стоит протестировать другие простые политики, чтобы убедиться, что применение вообще работает.

### 6. Проверьте события и потоки

Проверьте журналы событий на клиентских машинах и контроллерах домена. Это можно сделать с помощью "Event Viewer":
- На клиенте перейдите в раздел "Applications and Services Logs" → "Microsoft" → "Windows" → "GroupPolicy" → "Operational" и ищите ошибки.

### 7. Проверьте состояние домена

Если вы имеете дело с множественными контроллерами домена, возможно, есть проблемы с репликацией. Убедитесь, что репликация работает нормально (можете использовать команду `repadmin /replsummary` в командной строке).

### 8. Используйте команду gpresult

На клиентских машинах выполните команду `gpresult /h gpresult.html`, чтобы получить отчет о применяемых политик, и проверьте, какие политики были применены или отклонены.

Эти шаги должны помочь вам диагностировать и решить проблему с политиками групп, которые не применяются на уровнях OU. Если проблема остается, дайте больше информации о конфигурации вашего домена и самих политиках, чтобы можно было более детально проанализировать ситуацию.

1. Сетевая связность/доступность между КД, между КД и рабочими станциями 
 2. RSOP, gpresult, привязки политик 
 3. системные логи на КД и рабочих станциях 
 4. состояние клиента групповой политики 
 
Даже Default Domain Controllers Policy не применяется
 какие ошибки на контроллерах?

1. Есть 
 2. Когда добавляю политику в корень эти инструменты все показывают, все видят, но в UO эти же политики не отображаются вообще. 
 3. Смотрел, ошибок нет ни там, ни там. По логам обновление политик проходит. 
 4. Контроллер домена один, на нем тоже ошибок нет.

Копать в сторону изучения работы с политиками GPO. 
 Вы пишите вопросы с такими формулировками, как будто их увидели вчера первый раз. У "неприменения политик" есть много стандартных причин, связанных с их настройками. Можете озвучить их, для того, чтобы понять, что вы создали ваши неприменяемые политики корректно? 
 Откройте книжку и изучайте, или ищите в интернете - для траблшутинга GPO есть много удобных и простых вещей. 
 А потом приходите сюда и задавайте конкретные вопросы с техническими подробностями. 
 И п.5.12 https://qna.habr.com/help/rules неплохо бы изучить