Для локального компьютера, входящего в рабочую группу (не домен) набираем в командной строке gpedit.msc, жмем Enter, и редактируем настройки политики по своему желанию. Также можно запустить через Start -> Programs -> Administrative Tools -> Local Security Poliсy.

Для домена AD группову ю политику (ГП) можно применить к существующим в домене организационным подразделениям (Organizational Unit, OU) - всему домену, группам пользователей и компьютеров (за исключением встроенных в домен стандартных контейнеров AD - Users, Computers и Builtin - эти контейнеры не являются OU). Работу с групповой политикой домена лучше рассмотреть на конкретном примере. Задача - дать обычным (не администраторам) пользователям домена права на использование средств проверки орфографии. Обычный метод решения этой задачи состоит из муторного ручного редактирования реестра и безопасности каталогов на каждой машине. С помощью ГП можно автоматизировать решение этой проблемы.

1. Открываем оснастку Active Directory Users and Computers.

2. Выбираем свойства домена или организационного подразделения (ОП), для которого хотим изменить групповую политику. Для нашей задачи это - целый домен. Итак, выбираем из контекстного меню свойства домена.

3. На последней закладке Group Policy в белом окошке мы увидим так называемые объекты групповой политики (ОГП). Пока (по умолчанию) там только один объект - Default Domain Policy. У нас два варианта на выбор - создать новый ОГП (кнопка New) или редактировать существующий ОГП (кнопка Edit). Для нас проще выбрать ОГП Default Domain Policy и нажать кнопку Edit.

4. Откроется консоль с оснаской групповой политики. Групповая политика имеет две главные ветки - Computer Configuration и User Configuration с одинаковыми подветками Software Settings, Windows Settings и Administrative Templates (тем не менее содержимое у каждой отличается). Ветвь Computer срабатывает при инициализации Windows и во время периодического цикла обновления, а ветвь User - когда пользователь регистрируется на компьютере и тоже во время периодического цикла обновления. В общем случае Computer имеет приоритет перед User. Итак, выбираем последовательно Computer Configuration\Windows Settings\Security Settings\Registry, в контекстном меню выбираем "Add Key...".

5. В открывшемся окошке последовательно выбираем папку\ключ реестра MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ Proofing Tools, нажимаем Ok.

6. В новом открывшемся окне Security:
   - удаляем Everyone
   - добавляем Domain Users
   - даём права Full Control - Allow
   - галочка "Разрешить наследовать разрешения от родителей на этот объект" должна стоять
   Жмем Ok.

7. Появляется ещё одно окошко - Template Security Policy Setting. Там на выбор предоставляется фактически три варианта, смысл каждого, в общем, ясен, но как-то не до конца :):
   Вариант 1. Распространить родительские разрешения на все подключи. Этот вариант у меня почему-то не всегда срабатывал в домене, когда я пытался с его помощью наложить права на ветку реестра HKLM\SOFTWARE \ Microsoft \ Shared Tools \ Proofing Tools (в разделе Computer Configuration). Причём на права на файловую систему NTFS раздавались нормально.
   Вариант 2. Заменить существующие права на все подключи родительскими правами. Этот вариант лучше раздавал права не ветки реестра, чем предыдущий.
   Вариант 3. Не разрешить заменить права на этот ключ.
   Выбираем вариант 1 (или 2), жмем Ок.

8. Выбираем последовательно Computer Configuration \ Windows Settings \ Security Settings \ File System, в контекстном меню выбираем "Add File...". В открывшемся окошке последовательно выбираем (внимание, офис 97 должен стоять у всех компьютеров на системном диске!) %SystemDrive% \ ProgramFiles \ Common Files \ Microsoft Shared, нажимаем Ок.

9. В новом открывшемся окне Security:
   - удаляем Everyone
   - добавляем Domain Users
   - даём права Full Control - Allow
   - галочка "Разрешить наследовать разрешения от родителей на этот объект" должна стоять
   Жмем Ok.

10. Появляется ещё одно окошко - Template Security Policy Setting. Выбираем вариант 1, жмем Ок.