Las políticas de Active Directory están divididas en 2 secciones, una para parámetros de usuario y la otra para parámetros de máquina.
Si modificas parámetros de máquinas, debes vincular la política a un OU que tenga máquinas, de lo contrario no se aplicará nada.
Si modificas parámetros de usuario, debes vincular la política a un OU que tenga usuarios, de lo contrario no se aplicará nada.
Por lo que comentas, tienes la política aplicada a un OU que no tiene ni usuarios ni grupos, por este motivo no aplicará nada.
Cuando queremos aplicar una política solo a un grupo de usuarios o a un grupo de máquinas sin aplicar a los otros, se debe hacer lo que estás haciendo, vincular la política al contenedor del nivel superior que contenga a los objetos que quieras administrar y luego filtrar la política por medio de grupos de seguridad.
En resumen, como lo estás haciendo esta bien.