Eu faço o que você está procurando fazer o tempo todo. Quando você diz "Eu defino permissões no GPO para negar acesso a esse grupo", não está claro o que você está fazendo. Aqui está meu fluxo de trabalho para negar a um grupo os direitos de aplicar um GPO:
- Criar grupo de segurança global "Computadores isentos de exclusão de impressoras"
- Abra o Gerenciamento de Diretiva de Grupo, localize o GPO para excluir impressoras e "Editar" o GPO
- Clique com o botão direito do mouse no nó do nível superior no console do Editor de Objeto de Diretiva de Grupo, vá até a guia "Segurança", adicione a permissão "Computadores isentos de impressora" à permissão e defina a permissão para "Computadores isentos de exclusão de impressora "grupo para incluir" Aplicar Diretiva de Grupo "com permissão" Negar "
O editor de permissão no console do Gerenciamento de Diretiva de Grupo é inferior ao Editor de Objeto de Diretiva de Grupo. Você não vê a ACL real no Gerenciamento de Diretiva de Grupo, a menos que você clique no botão "Avançado" na guia "Delegação". Sou "old school" e me acostumei a modificar as permissões de GPO nos dias anteriores ao console de Gerenciamento de Diretiva de Grupo, por isso continuo seguindo o mesmo procedimento descrito acima. Agora saia do meu gramado! > sorriso <
Se você estiver preocupado que o computador não esteja "captando" suas associações de grupo, execute um "whoami / all" como SYSTEM na máquina e revise a saída. Isso mostrará o que o token de segurança do computador realmente inclui. Eu não tive experiências com computadores que não "reconhecem" associações a grupos.