Стандартно на курсах (а так же в статьях и книгах) говорится что для нацеливания объектов GPO создаются подразделения и к ним применяются политики. Не проще ли использовать фильтры безопасности (в настройках политик GPO) и разруливать политики на основе членства в тех или иных группах, а юзеров и машины держать в общих подразделениях? Или я что то путаю?
Хотелось бы совета на сей счет от более опытных в этом деле коллег.

В администрировании многие вещи полезны не столько собственно одноразовой конфигурацией, сколько многократной переконфигурацией. В этом смысле нацеливание фильтрами безопасности является менее гибким и очевидным методом.

Пример: разобьём учётные записи компьютеров по нескольким ОУ, к каждому ОУ применим свою политику подключения принтеров. Раскрывая структуру АД, становится сразу очевидным, какая политика к каким компьютерам применяется. Если же все учётные записи сложить в один ОУ и подключить несколько политик, фильтруя их группами, придётся выяснять, членом какой группы какой компьютер является.

Также могут начаться сложности с иерархией наследования политик и блокированием наследования.

Также могут начаться сложности с иерархией наследования политик и блокированием наследования. »

Все-таки иногда достаточно удобно запретить применение через членство в группе - я не говорю, чтобы пользоваться этим на постоянной основе.