e、關於策略的執行順序是本機、站點、域、ou、子ou。如果有設定上的重複，按照執行的順序，後面的設定將會覆蓋前面的設定。
如果在ou上設定“block policy inheritance”，那麼上層的策略將不會在這一層獲得執行。
如果在ou上設定“No override”，那麼這一層將不會被後面的策略設定覆蓋，也就是說即使後面有相同的設定，仍然以這一層的設定為準。
如果在ou上設定“disabled”，那麼這個策略將會被禁止執行。

如果在策略的properties  security上取消了對應的組的read和apply group policy，那麼對應的組將會無法應用到策略。通常預設被應用的組有authenticated user。
如果你取消了該組的兩個許可權，然後add其他組，同樣賦予read和apply group policy的話，此策略將只會被該組執行到，這也就是所謂的filter。

如果你的域中有多臺dc，可能需要在dssite.msc中手動同步它們。
你也可以在伺服器上使用secedit /refreshpolicy user_policy（machine_policy） /enforce 來強制重新整理策略
這樣的辦法同樣適用於client。

f、執行的指令碼，可以放在computer configuration和user configuration中執行。
對於user，通常可以放置更改使用者屬性的東西。
對於computer，通常可以放置更改計算機屬性的東西。
這兩個沒有絕對界限，但通常登陸的時候，都屬於domain users成員，這樣如果需要更改登錄檔或系統檔案之類的，可能會遇到許可權問題，那麼我們也可以把這樣的指令碼放在computer中，這樣可以在user登陸之前獲得執行。
（這裡順帶說一句：大家很少用到計算機賬戶吧，那麼計算機賬戶的作用在這裡可以得到體現，由於此時還沒有使用者賬戶驗證，計算機賬戶和dc的驗證有一方面來源於本地計算機賬戶和dc之間保持一個密碼同步，以便於在這種特殊的情況下獲得驗證，該密碼預設30天變更一次。
你 甚至可以在sharefolder上新增計算機賬戶的許可權：）如果由於dns對應或者其他的一些原因，導致這個密碼無法同步，dc將會無法驗證該計算機賬 戶，這可能會導致計算機登陸指令碼無法執行。在dc的日誌上一般都會給出一個錯誤提示，ComputerNetbiosName$無法存取。解決的辦法，可 以通過在客戶端上執行netdom重置該信任關係，這是另話了。）
對於user的設定，只需要登出然後登入即可獲得指令碼的應用。
對於computer的設定，則需要重新啟動機器來獲得指令碼的執行。

注：從上面的幾點中，大家可以看到計算機在登陸的時候需要通過dns來定位dc，從而定位
定位gpo，sysvol（策略、指令碼、管理模板都存放在這裡），dns對於ad的設定是至關重要
的，一般來說可以這樣設定，將客戶端的dns指向dc（如果dc上是雙網絡卡的話，那麼指向內部
網絡卡dns），然後在dc上設定轉發，forward到外部（isp）dns。

上面只是就一些常見的問題做簡要介紹，如果遇到更為複雜的問題，就需要查閱其他資料來解決了。