По умолчанию оно действует на OU, но если прописать группу то будет действовать и на нее (почитайте про Group policy Security Filtering).
То что можно поставить через software deployment не всегда отрабатывает.
Например вам нужно поставить жутко лохматое
приложение которое имеет собственный сетап или вообще его не имеет.
Вот и приходится для установки такого По использовать отдельный объект GPO который навязывает скрипт который проверяет ПК на наличие определенных условий и при их отсутствии запускает некий набор действий.
PS я таким методом проверяю наличие и работоспособность SCCm-агента и антивируса.
