Обновление KB3163622 (бюллетень безопасности MS16-072) для системы безопасности устраняет уязвимость в Microsoft Windows. Уязвимость делает возможным несанкционированное получение прав, если злоумышленник запускает атаку типа «Man in the Middle» (MiTM) на трафик, проходящий между контроллером домена и целевой машиной, применяя проверку подлинности Kerberos для определенных вызовов через LDAP.
Одним словом после данного обновления групповые полтики, где в Security Filtering вместо Authenticated Users (а это все успешно аутентифицированные учетные записи компьютеров и пользователей) были конкретные пользователи, группы безопасности или компьютеры, переставали принименяться.
Результат через Group Policy Results — Inaccessible, Empty or Disabled.
Решение и суть проблемы: https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/
Суть решения сводится к тому, что нужно внести изменения в GPO и схему AD. Здесь каждый решает для себя каким методом решить данную проблему. Для меня внесение изменений в схему AD было неприемлемо и решение было компромиссным.
Во вкладке Deligation консоли Group Policy Management добавить Authenticated Users.
Далее Advanced… и снять разрешение на выполнение — Apply Group Policy.
Теперь GPO будет применяться на определенные пользователи/группы/компьютеры
Подробно о проблеме — https://habr.com/ru/post/304202/
