Después de la creación de una Directiva de Grupo lo normal es que la configuremos y optimizemos a nuestra necesidad. Las directivas de grupo pueden limitarse a configuraciones de equipo o de usuario específicos. Para determinar si alguno de dichos tipos ha de ser deshabilitado el administrador debe tener claro cuales valores y cuales no, son necesarios para proporcionar la configuración deseada. En muchos casos la directiva usa de los dos tipos.
En caso de querer deshabilitar alguno de los dos (usuario o equipo), abriremos las propiedades (Ver las directivas).
En cuanto la tenemos listada, seleccionamos la pestaña Detalles. El campo de Estado de GPO es el que nos servirá para ajustar si deshabilitamos la configuración de uno u otro.
Cuando existen múltiples directivas de grupo, estas deben aplicarse en un orden predefinido. Para un usuario o equipo en particular, el orden puede derivarse del uso del snap-in Resultant Set of Policies. Los resultados de directivas estándar son que sí el valor A está habilitado en el nivel más alto de la directiva y deshabilitado en la última directiva para su aplicación a un objeto, el valor resultante deshabilitará el valor A. Muchos valores de directiva tienen tres estados: habilitado, deshabilitado y de forma predeterminada No configurado.
Podemos limitar la aplicación de las directivas de grupo a equipos o usuarios específicos modificando las entradas de Seguridad. Además de inhabilitar partes de cada GPO, puede bloquearse la herencia de directivas en el dominio o a nivel de OU mediante el valor de bloqueo de herencia de directiva. Cuando se necesita bloquear o ignorar las reglas precedentes para los valores de una directiva de grupo en particular, la directiva puede establcerse como Exigido.
Seguimos desde http://geeks.ms/blogs/juansa/archive/2011/04/14/administraci-243-n-de-usuarios-con-seguridad