Групповая политика - это инструмент, позволяющий централизованно управлять пользователями и компьютерами, находящимися в AD. Этот инструмент (как и большинство) находится в меню Tools - Group policy management. Структура GPM повторяет структуру AD

Все созданные объекты групповой политики хранятся в Group Policy Object. В новом домене сразу же присутствуют 2 политики безопасности по умолчанию - Default Domain Policy и Default Domain Controllers Policy. Как следует из названия, это политики по умолчанию для всего домена и для самого контроллера домена.

Создавать свои политики безопасности вы можете или же в корне, или же в каком-либо конкретном контейнере. Область применения будет зависеть от фильтров безопасности, которые вы укажете в самой политике.
Рассмотрим несколько примеров:

1. вам необходимо запретить редактирование реестра пользователям, находящимся в подразделении Manager. Это можно сделать 2 способами - создать GPO в корне и указать в фильтрах группу managers или же создать GPO сразу в подразделении Manager. Удобнее (на мой взгляд) это сделать непосредственно в подразделении (в том случае, если понадобиться распространить эту политику на другие подразделения, ее всегда можно переместить или же прикрепить к нескольким подразделениям сразу).