Мы настроили объект групповой политики с фильтрацией безопасности с использованием групп безопасности. GPO связан с OU, сервер является членом группы безопасности (В ОБЪЯВЛЕНИИ - подробнее чуть позже).
Мы не перезагружали сервер, так как он был добавлен в новую группу в AD, поэтому сервер не знает, что он является членом новой группы. Мы можем увидеть это, если выполним GPRESULT на сервере. Новая группа не отображается.
Но GPO прилагается, работает. Но я не понимаю почему.
Причина применения GPO заключается в том, что клиент после обновления своей групповой политики запрашивает активный каталог, чтобы найти атрибуты gPLink объектов в активном каталоге, членом которого он является.
Хотя группа безопасности еще не настроена локально, ссылка все же существует в Active Directory. И когда клиент запрашивает Active Directory, чтобы узнать, какие групповые политики он должен обрабатывать, он получает соответствующие групповые политики в зависимости от его членства в активном каталоге, независимо от местных знаний.
Вы можете найти объяснение атрибута gPLink на соответствующий технический блог. Вместе с дополнительной информацией о том, как применяются групповые политики.