Todas las directivas de grupo se almacenan en un contenedor en Active Directory denominado Objetos de directiva de grupo. Cuando una directiva se usa en un sitio, dominio o unidad organizativa, la directiva de grupo es vinculada al contenedor de objetos de directiva de grupo. Como resultado, pueden administrarse de forma centralizada y desplegarse a muchos dominios o unidades organizativas.
Cuando creamos una directiva vinculada a un sitio, dominio o unidad organizativa en realidad realizamos dos operaciones separadas: crear una nueva directiva y luego, vincularla al sitio, dominio o unidad organizativa. Cuando delegamos permisos para víncular una directiva a un dominio, OU o sitio, se deben tener permisos de Modificar para el dominio, OU o sitio que queremos delegar.
De forma predeterminada sólo los miembros de los grupos Administradores de dominio y Administradores de empresa, disponen de los permisos necesarios para vincular directivas a dominios y OUs. Y sólo los segundos para vincularlas a sitios. Los miembros del grupo Propietarios del creador de directiva de grupo pueden crear directivas, pero NO pueden vincularlas.
Cuando creamos una directiva de grupo en el contenedor de objetos de directiva de grupo, la directiva no es utilizada para usuarios o equipos hasta que se crea un vínculo a la directiva. Podemos crear directivas utilizando GPMc sin vincularlas. Podemos crear directivas sin vincular en una empresa grande, donde un grupo crea las directivas y otro grupo las vinculará al sitio, dominio u OU requerida.