Se você removeu o usuário autenticado do filtro de grupo de segurança no GPO, será necessário definir na segurança do computador de domínio do GPO como somente leitura para que o GPO funcione.
Como joeqwerty encontrou o link, é por causa dessas atualizações:
Você também pode usar o comando powershell se tiver muito GPO nessa situação!
Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Domain computers" -PermissionLevel GpoRead
Para sua última pergunta, Adicionando Computadores do Domínio "indiretamente", usando a vantagem e desvantagem da guia Delegação ou Adicionando COMPONENTES DE DOMÍNIO à seção de Filtragem de Segurança, a vantagem e desvantagem, por favor, verifique se blog postar, explicar mais, mas cada maneira funcionaria (mas ele sugere o método indireto como eu lhe disse)