Eu verifiquei as permissões de leitura do gpo. Eu uso a ferramenta gpmc.msc para permissão de concessão. Existe um separador Delegação sob o objeto de cada GP. Eu acho que é o lugar onde você precisa conceder permissões.
Mas, por padrão, os usuários autenticados têm acesso de leitura para todos os objetos GP, ou seja, todos os usuários em toda a floresta do AD e domínios confiáveis têm acesso de leitura.