Você não pode aplicar políticas de grupo diretamente a grupos de segurança. Você pode filtrar em um grupo de segurança, mas não se aplica a um.
Então, o que você está vendo é um comportamento normal. Para que um usuário obtenha a política que você está aplicando (em sua configuração atual), o objeto Usuário deverá estar na User Policies
OU.
No entanto, se você quiser configurá-lo para que apenas os usuários do grupo obtenham essas configurações, você poderá vinculá-la ao nível do domínio. Você pode usar a Filtragem de segurança para remover o padrão Authenticated Users
e adicionar no grupo criado.
Isso fará com que sua política seja aplicada a qualquer objeto de usuário em seu domínio, mas apenas àqueles que estiverem no grupo que você configurou.