Aplicando Diretiva de Grupo aos Grupos de Segurança

A maneira correta de adicionar um GPO a um grupo de segurança é:

Configure o grupo adicionando os membros pretendidos (contas de computador ou usuário)

Crie seu GPO e vincule-o alto o suficiente para que seja aplicado a todos os objetos pretendidos

Remova "Usuários autenticados" do painel Escopo no GPMC e adicione o grupo que deve aplicá-lo. Você não precisa usar a seção de segurança avançada para fazer isso, e é menos perigoso assim (sem chance de se trancar).

Se você vincular o GPO na parte superior do domínio, defina a filtragem antes de editar o GPO para que ele não seja aplicado em todos os lugares.

Se for uma política do computador, os computadores precisarão ser reinicializados assim que forem adicionados ao grupo, ou quando o GPO atualizar o computador ainda não está autenticado no novo grupo e o GPO não será aplicado.

Você não pode aplicar GPOs a grupos - como você disse, você os aplica a objetos de computador e de usuário.

O seu computador e os objetos de usuário serão em algum lugar em sua estrutura do Active Directory, portanto, você deve aplicar os GPOs diretamente às UOs onde os objetos residem.

Se todos os seus objetos de usuário e computador estiverem em seus contêineres padrão, talvez seja uma boa oportunidade adicionar um pouco de estrutura ao seu Active Directory com UOs adicionais.

Se você quiser fazer algum tipo de restrição nos GPOs dependendo de quais grupos de segurança um usuário / computador é membro, edite as propriedades de segurança de cada GPO e adicione um grupo apropriado (ou seja, pode alterar a proteção de tela ) e defina a permissão Leitura para Negar .