[Windows]セキュリティフィルタを使用するとGPOが適用されない

グループポリシーオブジェクト(GPO)にあるセキュリティグループでセキュリティフィルターをかけることで、まずそのセキュリティグループでフィルタした上で該当するユーザーやコンピュータにポリシーが適用される、ということができます。
例えば、GPOをあるグループに所属するユーザーにのみ適用したいという要望を叶えることができます。
OUにリンクさせることで十分な場合は問題ありませんが、適用したい項目が複数のOUにまたがっているような場合に有効です。

「さっすがMicrosoft」

と思ったのもつかの間、何故か適用されません。

セキュリティグループを作成し、GPOを作成し、そのGPOにセキュリティフィルターをかけた上で、ドメインに直接リンクさせたのですが、適用されません。
念の為、GPRESULTコマンドで、

で、結果を見たら、一応適応されているグループポリシーの一覧には出てくるものの、肝心の適用された内容がどこにも出てこない。
再起動やら、GPUPDATEコマンドやら試してみたものの状況は変わらず。
先に見ておけば良かったのかもしれませんが、「イベントビューワ」」で確認すると、

グループ ポリシーの処理に失敗しました。グループ ポリシー オブジェクト LDAP://CN=User,cn={SID..},cn=policies,cn=system,DC=mydomain,DC=local のレジストリに基づいたポリシー設定を適用できませんでした。このイベントが解決されるまで、グループ ポリシー設定は解決されません。エラーの原因となったファイル名およびパスの情報についてはイベントの詳細を参照してください。

というエラーが発生している模様(イベンtID 1096)。
また、その詳細の中には、

ErrorCode    5
ErrorDescription アクセスが拒否されました

と。

もちろん、アクセスしようとしているユーザーは、間違いなくセキュリティフィルタにて適用させているセキュリティグループに属していいます。
また、サーバー側はSambaサーバーなので、sysvol以下にある、SIDで示されるフォルダにアクセスできるかどうかも確認済み。

結局なんやかんやと調べていると、次のような記事に遭遇。

用を訳していえば、

GPOの委任タブのグループとユーザーの欄に、Domain Computerを「読み取り」許可を与えて追加する

ということ。
これだけで、何の問題もなかったようにGPOが適用されるようになりました。

「さっすが、Microsoft、」

って思いましたね。

もちろん最後のは、皮肉ですよ。