Eu sei como impedir que usuários individuais acessem / leiam UOs ou pastas no Active Directory.
Esta página fornece um bom guia sobre como fazer isso.
Mas como se pode barrar os usuários de uma UO inteira e suas OUs filhas de acessar uma determinada pasta? As opções de segurança parecem se aplicar apenas a usuários e grupos individuais ...
Você está correto, em Usuários do Active Directory apenas herdam os princípios de segurança dos Grupos. Unidades Organizacionais não herdam seus usuários contidos.
Em um antigo empregador, resolvemos esse problema com um processo em lote noturno que cria grupos <-em> por-unidade .