GPOs não são aplicados; motivo: Inacessível, Vazio ou Desativado; Servidor 2012 R2 e Windows 10

Verifique também o link joeqwerty do patch .

Aí está o detalhe importante:

Problemas conhecidos

O MS16-072 altera o contexto de segurança com o qual as políticas de grupo de usuários são recuperadas. Essa alteração de comportamento por design protege os computadores dos clientes contra uma vulnerabilidade de segurança. Antes da instalação do MS16-072, as políticas de grupo de usuários foram recuperadas usando o contexto de segurança do usuário. Após a instalação do MS16-072, as políticas de grupo de usuários são recuperadas usando o contexto de segurança das máquinas. Esse problema é aplicável aos seguintes artigos da base de conhecimento:

• 3159398 MS16-072: Descrição da atualização de segurança para Política de Grupo: 14 de junho de 2016
• 3163017 Atualização cumulativa para Windows 10: 14 de junho de 2016
• 3163018 atualização cumulativa para Windows 10 versão 1511 e Windows Server 2016 Technical Preview 4: 14 de junho de 2016
• 3163016 Atualização cumulativa para Windows Server 2016 Technical Preview 5: 14 de junho de 2016

Sintomas

Todas as Diretivas de Grupo do usuário, incluindo aquelas que foram filtradas para segurança em contas de usuário ou grupos de segurança, ou ambos, podem não ser aplicadas em computadores ingressados ​​no domínio.

Causa

Esse problema pode ocorrer se o objeto de diretiva de grupo não tiver as permissões de leitura para o grupo de usuários autenticados ou se você estiver usando filtragem de segurança e não tiver permissões de leitura para o grupo de computadores do domínio.

Resolução

Para resolver esse problema, use o Console de Gerenciamento de Diretiva de Grupo (GPMC.MSC) e siga uma das seguintes etapas:

- Adicione o grupo Usuários Autenticados com Permissões de Leitura no Objeto de Diretiva de Grupo (GPO).
- Se estiver usando filtragem de segurança, adicione o grupo Computadores do Domínio com permissão de leitura.

Veja este link Deploy MS16-072 que explica tudo e oferece script para reparar os GPOs afetados. O script adiciona permissões de leitura de usuários autenticados a todos os GPOs que não têm permissão para usuários autenticados.

# Copyright (C) Microsoft Corporation. All rights reserved.

$osver = [System.Environment]::OSVersion.Version
$win7 = New-Object System.Version 6, 1, 7601, 0

if($osver -lt $win7)
{
    Write-Error "OS Version is not compatible for this script. Please run on Windows 7 or above"
    return
}

Try
{
    Import-Module GroupPolicy
}
Catch
{
    Write-Error "GP Management tools may not be installed on this machine. Script cannot run"
    return
}

$arrgpo = New-Object System.Collections.ArrayList

foreach ($loopGPO in Get-GPO -All)
{
    if ($loopGPO.User.Enabled)
    {
        $AuthPermissionsExists = Get-GPPermissions -Guid $loopGPO.Id -All | Select-Object -ExpandProperty Trustee | ? {$_.Name -eq "Authenticated Users"}
        If (!$AuthPermissionsExists)
        {
            $arrgpo.Add($loopGPO) | Out-Null
        }
    }
}

if($arrgpo.Count -eq 0)
{
    echo "All Group Policy Objects grant access to 'Authenticated Users'"
    return
}
else
{
    Write-Warning  "The following Group Policy Objects do not grant any permissions to the 'Authenticated Users' group:"
    foreach ($loopGPO in $arrgpo)
    {
        write-host "'$($loopgpo.DisplayName)'"
    }
}

$title = "Adjust GPO Permissions"
$message = "The Group Policy Objects (GPOs) listed above do not have the Authenticated Users group added with any permissions. Group policies may fail to apply if the computer attempting to list the GPOs required to download does not have Read Permissions. Would you like to adjust the GPO permissions by adding Authenticated Users group Read permissions?"

$yes = New-Object System.Management.Automation.Host.ChoiceDescription "&Yes", `
    "Adds Authenticated Users group to all user GPOs which don't have 'Read' permissions"
$no = New-Object System.Management.Automation.Host.ChoiceDescription "&No", `
    "No Action will be taken. Some Group Policies may fail to apply"
$options = [System.Management.Automation.Host.ChoiceDescription[]]($yes, $no)
$result = $host.ui.PromptForChoice($title, $message, $options, 0)  
$appliedgroup = $null
switch ($result)
{
    0 {$appliedgroup = "Authenticated Users"}
    1 {$appliedgroup = $null}
}
If($appliedgroup)
{
    foreach($loopgpo in $arrgpo)
    {
        write-host "Adding 'Read' permissions for '$appliedgroup' to the GPO '$($loopgpo.DisplayName)'."
        Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetType group -PermissionLevel GpoRead | Out-Null
    }
}

Se você preferir definir a permissão de leitura para computadores de domínio (como eu) em vez de usuários autenticados, basta alterar isso 0 {$appliedgroup = "Authenticated Users"}para aquele0 {$appliedgroup = "Domain Computers"}