Security Filtering - это для фильтрации, как следует из названия. Чтобы на некоторые объекты, находящиеся в этом OU или ниже по иерархии, GPO не действовало. Но GPO все равно вешается на OU. Привязать GPO к группе - нельзя. By design.
И я недаром написал - интересует именно software deployment. На моей практике пока не встречалось приложений, которые через software deployment ставятся неправильно. Я даже предположу, что такого не может быть в принципе. А вот как получить msi-файл - другой вопрос. Вернее, вопрос с таким, например, ответом:
AppDeploy Repackager.
