В политике домена по умолчанию у меня стоит запрет на завершение работы системы пользователями - только выход из сеанса. Обусловлено тем что в домене - терминальный сервак, который гасить по глупости нельзя. Таким образом имеем контроллер домена на базе windows server 2008, хотим изменить gpo на базе управления групповой политикой - а именно разрешить человеку выключать свой компьютер.

Для начала в оснастке AD "Пользователи и компьютеры" создаем подразделение (OU), в которое перенесем рабочие станции, которые хотим разрешить гасить (в моем случае turned_off_computers):

Затем в оснастке "Управление групповой политикой" создаем объект gpo (в моем случае "разрешить выключить"), который прикрепляем к ранее созданному подразделению. Само собой, в созданной политике указываем все необходимые параметры (в моем случае - разрешаем пользователям выполнить завершение работы).

После этого перегружаем рабочие станции чтобы политика применилась. Как удобно проверить - выполняется ли групповая политика? В Windows server 2008 появилось удобное средство мониторинга выполнения групповой политики: "Результаты групповой политики". Включаем Мастер в пустом поле "результатов груповой политики", выбираем компьютер в сети и пользователя и получаем отчет о выполнении политики:

Мы видим, что помимо политик по умолчанию применилась и наша. О приоритетах выполнения групповой политики много написано тут:

http://www.winblog.ru/2007/02/06/06020701.html

http://technet.microsoft.com/ru-ru/library/cc754948(WS.10).aspx

Мы же можем на второй вкладке результатов - "Параметры" - посмотреть что именно особенного применилось при помощи gpo:

Собственно все - настройка рабочих станций путем редактирования групповой политики завершена.