W2000 permite configurar las directivas que atañen a la seguridad en diversos niveles de la estructura del DA. Las directivas establecidas al más alto nivel del árbol del directorio, por ejemplo, pueden fluir hasta los niveles más inferiores, como las unidades organizativas. Como opción, también es posible modificar o sobrescribir las directivas del más alto nivel. La directiva de grupo, ahora sí, controla la distribución del software y limita el uso de las aplicaciones a determinados clientes o equipos.
Es necesario crear un GPO (Group Policy Object u Objeto directiva de grupo). Los GPO son en realidad ubicaciones virtuales donde se almacenan las directivas. Diferentes GPO pueden almacenar diferentes directivas, y cada GPO puede aplicarse a determinados usuarios o equipos. (Sólo es posible aplicar los GPO a usuarios o equipos, pero también pueden filtrarse los efectos de los GPO por grupos.) La duplicación de directivas se produce bajo el control del servicio FRS (File Replication Service o Servicio de duplicación de archivos) de W2000. Un GPO puede asociarse con múltiples contenedores del DA y cada contenedor del DA puede disponer de múltiples GPO, a su vez asociados a él.
W2000 guarda la información relacionada con la directiva de grupo en dos sitios: en el GPC (Group Policy Container o Contenedor de directivas de grupo) y en la GPT (Group Policy Template o Plantilla para directivas de grupo). El contenedor GPC es un objeto del DA asociado con el GPO. Tanto el contenedor (GPC) como la plantilla (GPT) contienen información acerca de la versión y estado del objeto directiva de grupo (GPO). La plantilla GPT está formada por un conjunto de archivos ubicados en la carpeta \sysvol, presente en todos los controladores de dominio. (No debe confundirse la GPT con la carpeta System Volum Information. Las directivas de \sysvol están colocadas bajo la rama \systemroot\sysvol\sysvol\nombrededo-minio\policies.) En la GPT, puede hallarse información sobre plantillas administrativas, seguridad, guiones e instalación de software.
Antes de empezar a crear GPO, deberá plantearse dónde necesita aplicar la directiva en cuestión. ¿Afectará a todos los usuarios o equipos? De ser así, quizá deba plantearse aplicarla en la sede. Si la directiva sólo ha de concernir a un dominio o a un grupo de usuarios de una unidad organizativa, quizá lo más apropiado resulte aplicarla únicamente en el nivel del dominio o de la unidad organizativa.