IMHO, muito design de política de grupo é sobre o senso comum. Se você tiver um grupo de configurações que se aplicam globalmente a todos os computadores / usuários em seu domínio, você precisará apenas de um único GPO para mantê-las. Se, em algum momento, um subconjunto dessas configurações não se aplicar mais a todos ou se aplicar de maneira diferente a grupos diferentes, divida-as em seus próprios GPOs. Se for um pequeno grupo de configurações que giram em torno de uma função específica, geralmente tento nomear a política para a função e não para os computadores / usuários aos quais se aplicam. Então Firewall - No Inbound Blocking
e Firewall - Standard Blocking
em vez de Firewall - Dept A
e Firewall - Dept B
.
Existe um "custo" de processamento para cada GPO que um computador precisa processar, mas nos computadores de hoje é muito pequeno. Não enlouqueça e crie uma política para cada configuração que você deseja aplicar. Mas não se preocupe em adicionar 5 em vez de 1.