Механизм запуска программ через групповые политики в Windows работает следующим образом: 1

1. Администратор создаёт объект групповой политики (GPO), содержащий определённый набор параметров рабочей среды. 1 Этот объект может содержать настройки, применяемые как к компьютеру, так и к пользователю. 1
2. С помощью связывания (привязки) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. 1
3. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. 1 Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. 1
4. Когда пользователь осуществляет вход в систему, выполняется ещё один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему. 1

Для ограничения запуска программ через групповые политики механизм работает так: 1

1. Политики активируются при создании нового объекта групповой политики или редактировании существующего. 1
2. Выбирается уровень необходимой безопасности. 1 Уровень безопасности — это базовая модель контроля за исполнением программ, или, другими словами, правило по умолчанию. 1
3. Настраиваются параметры политики — к каким типам файлов будет применяться политика, будет ли она распространяться на локальных администраторов компьютеров, кто сможет определять, что подписанному содержимому можно доверять. 1
4. После этого создаются правила, запрещающие или разрешающие выполнение программ, идентифицированных правилом. 1

При запуске программы, которая не разрешена, пользователь будет видеть сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере». 2