Eichi84

Die Übersichtlichkeit im AD ist das A und O. Darin sollte sich jeder Admin relativ schnell und einfach zurechtfinden können.
Daher ist eine "anständige" Benamung der OUs grundlegend wichtig. Für den strukturellen Aufbau kann ich dir
https://www.faq-o-matic.net/2020/11/16/active-directory-best-practice-zur-ou-struktur/ https://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#dodtp94e359a2-eaa3-44c2-b79b-c8e2ba4ea16c (ja, Server 2012, aber an der Stelle immer noch aktuell) als Lektüre empfehlen. Alternativ wird wahrscheinlich jeder Treffer mit "Best Practice AD Strukur" die weiterhelfen können.
Für den Aufbau einer AD gibt es unzählige gute Ideen, aber keine davon wird jemals zu 100% auf "deine" Domäne passen. Daher alles was der Dozent sagt abspeichern, aber auch er wird nicht DIE Lösung in Petto haben. Dann wäre er kein Dozent sondern sehr gefragter Consultant.
Du kannst die Filtereinstellungen komplett weg lassen, was bei GPOs auch durchaus wünschenswert ist. Eine GPO wird nur auf die OU auf der sie verknüpft ist - und alle UnterOUs - angewendet. Man kann dann noch zusätzlich über diverse Arten der Sicherheitsfilterung arbeiten, das macht es aber schwerer beim Troubleshooting.
Also KISS (Keep it simple, stupid), und bau die AD-Struktur so auf, dass du keine (ok, kaum - ganz ohne wird nicht gehen) Klimmzüge über Sicherheitsfilterung machen musst.
Und deine Gruppe "Benutzer der Domäne" soll für wen oder was sein? Eindeutige Benamung! Das bedeutet nicht dass der Gruppenname nur einmal vorkommt, sondern dass aus dem Namen eindeutig hervorgeht wofür diese Gruppe sein soll.
https://www.netwrix.de/verwaltung_von_active_directory-gruppen.html
Lies dir bitte durch, wofür welche Art von Gruppen verwendet wird, und warum. Nur weil der Dozent das macht, muss es noch lange nicht "gut" oder "toll" oder "sinnvoll" sein. Selbst wen es für Schulungszwecke die Anschaulichkeit erhöht (ich wage hier kein Urteil) ist es noch lange nicht praxistauglich.