Depois de muito teste e bater a cabeça, percebi a resposta. É bem simples e faz sentido.
Nível funcional do Active Directory "Windows Server 2008 R2"
Gostaria de ocultar "Members" de todos os usuários autenticados, exceto os membros do grupo em questão.
Eu assumi que "SELF" ajudaria com isso, mas não parece fazer o truque. Aqui está a configuração do teste:
Grupo "Testador" OU "Grupo de teste"
Dois usuários, um usuário administrador e um não administrador (TestUser).
Eu crio o TestGroup na UO do Testador. Eu adiciono o TestUser como um membro do grupo.
No nível da UO, adiciono "Negar, usuários autenticados, membros lidos".
Eu testo e o TestUser não pode ver nenhum membro (esperado).
No TestGroup eu adiciono "Allow, SELF, Read Members".
Eu testo e o TestUser não pode ver nenhum membro (não esperado).
Em seguida, em TestGroup, adiciono "Allow, TestUser, Read Members".
Eu testo e TestUser pode ver os membros (esperado).
Meu próximo teste é no TestGroup. Eu adiciono "Allow, TestGroup, Read Members". Então eu removo a regra "Allow, TestUser, Read Members".
Eu testo e o TestUser não pode ver os membros (esperado, pois suponho que seja o mesmo que SELF).
Parece que, para ver os membros de um grupo, o usuário em questão deve ter permissão de outro grupo (não do grupo em questão) (ou do próprio usuário) para ler os membros. Isso é verdade?
Depois de muito teste e bater a cabeça, percebi a resposta. É bem simples e faz sentido.