Acho que você está perguntando por que usar UOs com GPOs quando posso usar grupos de segurança? Eu posso pensar em algumas razões:
1) Clareza. Se você criar uma estrutura de UO lógica (por exemplo, criar UOs base de "computador" e "usuário", criar UOs filho "servidor" e "PC" em "computador", criar UOs "administradores" e "contábeis" no PC etc.) e vincular GPOs a sua UO apropriada sem alterar o filtro de segurança, você poderá entender rapidamente quais GPOs estão afetando quais grupos de usuários ou computadores. Se você usar somente filtragem de grupo de segurança, precisará examinar o filtro de segurança de cada GPO ou usar outro método demorado para ver o que está acontecendo. Se você tiver apenas alguns GPOs e for o único a gerenciar os GPOs, isso pode não importar, mas como o número de GPOs e o número de pessoas que gerenciam GPOs aumentam, o método de filtragem de grupo de segurança se torna muito confuso muito rapidamente.
2) Eficiência e gerenciabilidade. Os GPOs vinculados a unidades organizacionais de nível superior se aplicam a todas as unidades organizacionais subordinadas. Por meio de uma estrutura de UO bem projetada, você pode aplicar políticas de grupo com precisão e redundância mínima. Por exemplo, políticas de computador mais genéricas que se aplicam a computadores e servidores devem ser vinculadas à UO do computador (por exemplo, configurações genéricas do IE / Edge, implantação genérica de certificado de segurança, configurações do ambiente powershell etc.) para aplicar especificamente aos PCs (por exemplo, somente cliente As regras de firewall do Windows, as regras relacionadas ao MS Office, as regras de implantação de software cliente) devem ser vinculadas à UO PC e as regras personalizadas devem estar vinculadas a UOs de nível inferior (por exemplo, mapeamento de compartilhamento de arquivo específico, permissões especiais etc.). Se todos os seus GPOs estiverem vinculados à mesma OU, você precisará se lembrar sempre de alterar a ordem de prioridade do GPO para que diretivas mais importantes / específicas tenham precedência sobre políticas mais genéricas (isso é extremamente fácil de esquecer). Acho que você acha que a solução de problemas "GPOs não aplicando" problemas se torna muito mais fácil se você tiver uma estrutura de UO lógica com filtragem de grupo de segurança minimizada. (Observação: algumas diretivas de grupo, como a diretiva de loopback de diretiva de grupo, podem se comportar de maneiras inesperadas se você usar a filtragem de grupo de segurança).
3) Velocidade. Os GPOs que usam a filtragem do grupo de segurança demoram um pouco mais para serem processados. Os GPOs que usam o filtro WMI levam muito mais tempo. Pode não importar apenas com alguns GPOs, mas quando seus GPOs começarem a ser numerados na casa das centenas, você precisará pensar em otimização. Se você quiser minimizar os tempos de processamento de GPO, a atribuição de GPO baseada em UO é o caminho a seguir.