По мотивам https://habrahabr.ru/post/304202/ и http://winitpro.ru/index.php/2016/07/05/kak-izmenit-standartnye-razresheniya-dlya-novyx-gpo/
Обновление KB3163622 (бюллетень безопасности MS16-072, номер KB для различных ОС: KB3159398, KB3163017, KB3163018, KB3163016) ломает Group Policy. Выражается это в том, что GPO не применяются если в фильтре безопасности заданы группы или пользователи.
Как оказалось, для решения проблемы MitM программисты Microsoft не нашли ничего лучше, чем изменить поведение процесса применения групповых политик, которое не менялось со времени выхода Windows 2000. Традиционное поведение предусматривало доступ к политикам безопасности уровня компьютеров (computer scope) от учётной записи компьютера, а к политикам безопасности уровня пользователя (user scope) — от учётной записи пользователя. После установки обновления KB3163622 все запросы стали направляться от учётной записи компьютера, чтобы обеспечить доверенность источника силами протокола Kerberos.
Это добавит права на текущие объекты GPO и они заработают правильно
Для английской версии:
> Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Domain Computers" -PermissionLevel GpoRead
Для русской версии:
> Get-GPO -All | Set-GPPermissions -TargetType Group -TargetName "Компьютеры домена" -PermissionLevel GpoRead
Примечание. Тип доступа: A = Access Allowed Флаг ACE: CI = Container Inherit Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions Субъект доступа: DC = Domain Computers