グループポリシーは、サイト=>ドメイン=>OUにリンク（適用）させることができ、上位から下位に継承される。
以前にいた会社で、グループポリシーの設定がぐちゃぐちゃになってしまい、お客さんにひどく怒られたことがある。

グループはアクセス権限、OUは役割と考えるとシンプルだと思う。
いずれにしても、シンプルにきちんと設計するにこしたことはない。クライアントにも100%適用させきれない可能性がある（とくに、複数の１つのクライアントを複数のユーザーで利用する場合など）。

「管理ツール」−「グループ　ポリシーの管理」を開き、ドメイン（eranger.local）をクリックすると、Default Domainというグループポリシーが適用されていることがわかる。

ここでは、OU=DemoUsers,CN=demoを作成し、demoユーザーには「コントロールパネルが表示されない」ようにしてみる。

DemoUsersを選択して右クリック。「このドメインにGPOを作成しこのコンテナ（OUのこと）にリンクする」を選ぶ。GPOの名前はnocontrolとした。

グループポリシーの管理画面でDemoUsersをクリックすると、nocontrolがリンクされていることがわかる。

ここで、nocontrolを選択し、右クリックで「編集」を選ぶ。

左ペインは、登録されたコンピュータへのポリシーなのか、ユーザーに対するポリシーなのかで２つに分かれている。
基本設定は、クライアントがXP(SP3で検証）、Vistaの場合、パッチ（『Windows XP 用グループ ポリシーの基本設定クライアント側拡張機能(KB943729)』）を当てなければ有効にならないので注意。

ここでは、「ユーザーの構成」-「ポリシー」-「管理用テンプレート」を選ぶ。
管理用テンプレートには、ポリシーの内容と適用できるクライアントの種類（Vista以降など）が説明されている。

「コントロールパネル」を展開すると、ポリシーの一覧がでるので、「コントロールパネルへのアクセスを禁止する」を選択する。すると、windows2000以降に有効なポリシーであると表示されます。また、前提条件がかかれているので、それもチェックする。

以下の画面で有効にして、適用、OKとする。

グループポリシーの管理からは、適用の優先順位をみることができる。GPOに「強制」という属性をもたせない限り、この順でGPOが手供される。

作成したGPOは、DemoUsersに属するユーザー（demo）がログイン時（もしくは、一定間隔で）に適用されるが、クライアントのコマンドプロンプトで

gpupdate /force

とすることで適用させることができる。適用されることができない場合はエラーメッセージがあがるので、適用されない場合には、これで確認できる。

また、クライアントに適用されているGPOをみるには、コマンドプロンプトで

gpresult

コマンドを使います。