O motivo pelo qual o GPO é aplicado é porque o cliente atualiza o diretório ativo de consultas da diretiva de grupo para localizar o Atributos gPLink dos objetos no diretório ativo do qual é membro.
Embora ainda não tenha o grupo de segurança configurado localmente, o link existe no Active Directory. E quando o cliente consulta o Active Directory para descobrir quais diretivas de grupo ele deve processar, ele obtém as diretivas de grupo relevantes pressionadas dependendo de sua participação no diretório ativo, independentemente do conhecimento local.
Você pode encontrar uma explicação do atributo gPLink em um blog de technet relevante. Juntamente com mais informações sobre como as políticas de grupo são aplicadas.