Por que não podemos vincular o GPO a um contêiner do AD?

Why can't we link GPO to an AD container?

Principalmente porque um objeto contêiner não possui os atributos gpLink e gpOptions necessários para vincular um objeto de política de grupo a ele. O Active Directory usa um banco de dados LDAP e, nesse banco de dados LDAP, há tipos diferentes de objetos e uma hierarquia de heranças, de modo que certos objetos possam herdar atributos de seu objeto pai acima deles. Alguns objetos possuem determinados atributos e outros não. Por exemplo, objetos de usuário e objetos de computador herdam o mesmo objeto de nível mais alto, chamado user . (Confuso, né?) Um computador é essencialmente um tipo especializado de usuário.

Containers are used to segment and organize a network and were designed with specific uses and restrictions in mind.

Não entenda o que está dizendo.

Is this the only reason why we can't link GPO to a Container and only to OU?

Veja a primeira pergunta acima.

Are there any more differences between a container and OU?

Você não pode vincular um GPO a um contêiner e, em geral, nunca deve tentar remover ou excluir contêineres. Contêineres e OUs são duas classes de objetos diferentes (mas semelhantes). Em geral, os contêineres são estabelecidos pelo sistema quando você instala aplicativos integrados ao AD ou AD e, em geral, não devem ser alterados sem um bom motivo. UOs, por outro lado, são para você, o administrador, brincar com o conteúdo do seu coração. Você cria, move e exclui UOs e categoriza seus usuários e computadores de qualquer maneira que faça sentido para sua organização. Além disso, há determinados systemFlags geralmente atribuídos a contêineres que o proíbem de movê-los ou excluí-los.

Vinculando GPOs a contêineres do Active Directory Neste artigo, o primeiro parágrafo diz:

A GPO can be associated (linked) to one or more Active Directory containers, such as a site, domain, or organizational unit. Multiple containers can be linked to the same GPO, and a single container can have more than one GPO linked to it. If multiple GPOs are linked to one container, you can prioritize the order in which GPOs are applied.

E para complementar a informação, neste artigo diz: Estrutura e grupo do Active Directory Política

It is not possible to link a Group Policy object to a generic Active Directory container. (A generic Active Directory container is identifiable by its plain folder icon in the Active Directory Users and Computers console. The icon for an organizational unit is similar, except that a small book is superimposed on the folder.) However, users and computers in generic Active Directory containers do receive policy by inheritance from Group Policy objects linked at a higher level of Active Directory. For example, the Users and Computers containers you see in Active Directory Users and Computers cannot have Group Policy objects linked directly to them, but they do receive domain-linked Group Policy objects by means of inheritance.