Essa é uma prática que costumamos participar, em um domínio do AD com VPNs para vários escritórios em vários países, e achamos que está tudo bem.
Até que alguém em um escritório remoto da ilha conecte o laptop de um cliente à rede. Em 10 minutos, todos os escritórios foram infectados pelo Conficker, tivemos que puxar todas as conexões de internet e 3 engenheiros passaram a maior parte de uma semana limpando o worm de todos os nossos sistemas (ps A / V na época era Symantec, não era por muito tempo depois disso.
Worms são menos prevalentes atualmente, mas você realmente precisa de portas de compartilhamento de arquivos e impressoras abertas em suas estações de trabalho? Você precisará deles em vários servidores, mas é aí que entra a beleza do GPO. A política padrão bloqueia, adiciona um objeto de política às portas necessárias e aplica-se apenas aos servidores que realmente precisam isso.
Embora seja óbvio que a política da empresa não deve ser laptops externos conectados ao domínio (e foi), acidentes acontecem, pessoas trazem vírus / worms de visitas, etc. É melhor estar seguro do que muito triste!