Windows Server: qual é a diferença entre Filtragem de Segurança (na guia Escopo) e a guia Delegação no Gerenciamento de Diretiva de Grupo?

Percebo que qualquer coisa que eu adicione ao Security Filtering também aparece em Delegation , então não sei como ou por que eles existem e se são redundantes ou não?

Até agora eu estava usando exclusivamente Security Filtering para determinar se um GPO é aplicado e para quais grupos, mas agora há um novo patch para o Windows Server que impede a aplicação de meus GPOs, a menos que eu adicione Domain Computers to Security Filtering ... ( GPOs não se aplica, motivo: Inacessível, Vazio ou Desativado; Server 2012 R2 e Windows 10 )

Isso parece muito confuso para mim, pois sempre achei que os direitos de GPO seriam lidos independentemente com base em toda minha experiência com privilégios do Windows. Em outras palavras, se eu tiver Bob e Sue em Group A e Bob e Bill e Sarah in Group B , adicionarei Group A e Group B a um GPO com Read e Apply set, então espero que o GPO seja aplicado a Bob , Sue , Bill e Sarah . (Efetivamente, uma operação lógica OR : se um usuário estiver em Group A ou Group B , aplique a política).

Portanto, se eu adicionar Group A e Domain Computers à guia Security Filtering , esperaria que o GPO se aplicasse a Bob e Sue , mas também a todos os computadores do domínio, tornando-os eficientes Group A redundante, já que todos os computadores que recebem o GPO sempre farão parte do domínio.

No entanto, a postagem feita pelo usuário Adwaenyth ( Os GPOs não se aplicam; motivo: Inacessível, Vazio ou Desativado; Server 2012 R2 e Windows 10 ) parece implicar que Security Filtering agora está operando por meio de um AND kind de lógica, em que o destino deve ser um membro de todos os grupos para o GPO se aplicar. No meu exemplo de Group A e Group B acima, apenas Bob aplicaria o GPO, pois ele é o único em ambos os grupos.

Todo esse mistério seria resolvido para mim se eu precisasse adicionar apenas Read direitos e não Apply direitos, para Domain Computers . Mas então, por que preciso adicionar Domain Computers a Security Filtering , onde Apply direitos são automaticamente concedidos? Tudo isso volta à mesma questão de qual, efetivamente, é a diferença entre Security Filtering e Delegation ? Estou ciente de que Delegation também é para conceder aos usuários e administradores limitados a capacidade de editar, modificar ou excluir um GPO. Mas e se eu usar Delegation para atribuir manualmente uma entidade Read e Apply direitos? Isso é o mesmo que colocar a entidade em Security Filtering ?

Esta questão também é colocada aqui: Um GPO é aplicado se a guia" Filtragem de segurança "estiver vazia, mas há um grupo de segurança na delegação que tenha direitos Ler e Aplicar corretamente?