Reverse lookup de políticas de segurança do grupo de segurança?

Não é uma maneira fácil de saber. O que você poderia fazer é documentar quem são os membros / grupos aninhados e removê-los do grupo. Se ninguém gritar, exclua o grupo, caso contrário, coloque-o de volta. Provavelmente não é a maneira mais política de fazê-lo, mas a maneira mais rápida de descobrir as coisas.

Você pode ver facilmente de que grupos o grupo faz parte e quais usuários estão no grupo. Isso é onde é fácil parar.

Para sistemas de arquivos, você pode usar ferramentas rudimentárias como cacls para listar quem tem permissões, mas geralmente é uma montanha de dia quase inútil. Você também pode usar Auditoria e Registro de Eventos para rastrear alguns padrões de uso. Existem algumas ferramentas comerciais disponíveis para facilitar um pouco essas tarefas.

Nenhum dos itens acima é um substituto para documentações, conforme MarkM mencionado. Melhores práticas e documentação adequada são sua melhor aposta para manter os controles de acesso sob controle.

Não sei ao certo o que você está se referindo ao fazer referência a políticas de segurança, mas suspeito que esteja se referindo às permissões de arquivos e pastas, bem como à delegação de controle.

Posso dizer de primeira mão que não é uma tarefa fácil de gerenciar e acompanhar. Eu trabalho em um ambiente onde há uma separação muito distinta entre o que os administradores seniores e juniores podem ou não fazer. Os administradores juniores estão restritos ao gerenciamento de diretivas de grupo para um conjunto limitado de GPOs, têm direitos limitados para gerenciar um número limitado de servidores, têm acesso limitado a um pequeno conjunto de AD OUs, têm acesso limitado a um pequeno número de zonas DNS Usuários de TS, mas não podem se logar via TS, etc., etc. A única maneira de manter o controle é documentá-lo.