Ich vermute OE steht für "Organisations Einheit", besser bekannt als OU "Organisational Unit". Also, wenn man so will, ein "Ordner" im AD.
Also prinzipiell kann man mit den Berechtigungen auf ein GPO zwei Dinge steuern:
1.) Wer soll das GPO anwenden?
2.) Wer soll das GPO bearbeiten/lesen dürfen?
Um eine GPO anwenden zu können braucht die Gruppe/der User die Berechtigungen für "Lesen" und "übernehmen".
Will ich expliziet einer Gruppe/einem User das Recht die Anwednung einer GPO verweigern, so empfiehlt es sich, die Leseberechtigung zu entziehen. Dies ist aus Performancegründen von Vorteil. Wenn ich "nur" das recht auf übernehmen entziehe, wird die GPO komplett durchgearbeitet und am Ende wird dann die Übernahme der Einstellungen verweigert.
Allerdings ist es Best Practice, möglichst wenig "negative" Berechtigungen (so wie explizietes Verweigern) einzusetzen, weil man nach einer gewissen Zeit die Übersicht verlieren kann....