Per Voreinstellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umgebungen unerwünscht sein, weil sich durch die Beschränkung der Anmeldung Risiken vermeiden lassen. Entsprechende Restriktionen können Admins über Gruppenrichtlinien durchsetzen.
Bei einer großen Zahl an OUs und GPOs ist nicht leicht zu überblicken, welche GPOs mit welchen OUs verknüpft sind. In PowerShell lässt sich das mit relativ geringem Aufwand herausfinden. Dabei kann man wahlweise die OUs nach verlinkten GPOs oder GPOs nach OUs filtern, mit denen sie verbunden sind.
Um unerwünschte Anwendungen zu blockieren, gibt es für das Black- und Whitelisting die Bordmittel der Enterprise Edition oder Tools von Drittanbietern. Wenn beide nicht zur Verfügung stehen, dann reicht es oft, einem Programm mit Firewall-Regeln den Netzzugriff zu verwehren.
Microsoft hat angekündigt, dass der Support für das Tool Security Compliance Manager (SCM) endet. Das Tool ist seit 2010 verfügbar und dient dazu, GPO-basierte Sicherheitskonfigurationen mit den empfohlenen Einstellungen des Herstellers zu vergleichen. Diese lassen sich damit in die eigenen Systeme übernehmen.
Microsoft hat erweiterte Versionen der Work-Folder-Clients von Android und Apple iOS für die aktuelle Ausgabe von Windows 10 (v1703) angekündigt.
Kurz nach dem Erscheinen des Creators Update aktualisierte Microsoft die Excel-Tabelle mit allen verfügbaren GPO-Einstellungen. Sie weist über 100 neue Einträge auf, die unter anderem für Windows Update for Business, Defender und Edge dienen. Einige wenige Einstellungen betreffen neue Features von Release 1703.
Die App Einstellungen, Nachfolgerin der Systemsteuerung in Windows 10, lässt sich seit dem Creators Update über GPOs konfigurieren.
Möchte man den unbefugten Zugriff auf PCs verhindern, wenn Benutzer ihren Arbeitsplatz verlassen, dann hilft die zeitgesteuerte Sperre des Bildschirms. Windows 7 benötigte dafür noch 4 Einstellungen in den Gruppenrichtlinien, ab der Version 8 ist es nur mehr eine. Unter Windows 10 1703 kommt eine weitere Option hinzu.
Microsoft Edge erfüllte anfangs kaum die Anforderungen für den Einsatz in Firmen. So mangelte es vor allem an der zentralen Konfiguration und an Erweiterungen. Mit Windows 10 1703 kommen nun einige neue GPO-Einstellungen hinzu, künftig zudem mit Application Guard eine Sandbox auf Basis von Hyper-V.
Parallel zum Creators Update von Windows 10 veröffentlichte Microsoft die dazu passenden ADMX-Templates für die Gruppenrichtlinien sowie das Assessment und Deployment Kit. Keine neue Ausführung gibt es indes von den RSAT.