Beschränken des Zugriffs von Benutzern auf Drucker und Freigaben im Active Directory

Ich bin relativ neu bei Active Directory und habe Probleme, das folgende Szenario zu verstehen:

• Ich habe eine Reihe von Benutzern in der Personalabteilung
• Ich habe eine Reihe von Benutzern in der Marketingabteilung
• Es gibt einige Benutzer, die sowohl Teil der Personalabteilung als auch des Marketings sind
• Ich richte einen freigegebenen Ordner ein, der nur von der Marketingabteilung verwendet werden kann.
• Ich richte einen gemeinsamen Drucker ein, der nur von der Personalabteilung genutzt werden kann.

Ursprünglich dachte ich, ich würde Folgendes tun:

1. Fügen Sie die HR-Benutzer zur HR-OU hinzu
2. Fügen Sie die Marketing-Benutzer zur Marketing-OU hinzu
3. Fügen Sie beiden Organisationseinheiten einige Benutzer hinzu
4. Wenden Sie eine Gruppenrichtlinie auf die HR-OU an, damit nur die Benutzer auf diesem Drucker drucken können.
5. Wenden Sie eine Gruppenrichtlinie auf die Organisationseinheit „Marketing“ an, damit nur diese Benutzer auf den Ordner zugreifen können.

Ich stecke jedoch bei Schritt 3 oben fest, da ich anscheinend keine Benutzer zu mehr als einer Organisationseinheit hinzufügen kann. Ich habe darüber nachgedacht, anstelle einer Organisationseinheit eine lokale Domänengruppe zu verwenden, aber dann glaube ich, dass ich kein GPO auf eine Gruppe anwenden kann.

Ich weiß, dass es eine Möglichkeit gibt, dies zu tun. Wo verstehe ich es nicht und was ist ein guter Ansatz, um mit dieser Situation umzugehen?