Você está correto, em Usuários do Active Directory apenas herdam os princípios de segurança dos Grupos. Unidades Organizacionais não herdam seus usuários contidos.
Em um antigo empregador, resolvemos esse problema com um processo em lote noturno que cria grupos <-em> por-unidade .