C'est apparu avec Active Directory et te permet de gérer des paramètres sur les postes de travail de ton domaine.
C'est très pratique mais très dangeureux : j'ai arrêté de compter le nombre de fois qu'une application serveur était plantée parce qu'un type avait balancé une GPO pour modifier les paramètres du firewall local Windows... et la pousser sur les serveurs. Mais meme sur des PC, ça peut aussi coincer avec des applications métiers.
Tant qu'on maitrise le périmètre ça va, mais à grande échelle, c'est comme le compte root Linux : les vraies catastrophes se font avec un shell root.