Depois de todas as dores de cabeça e problemas que isso causou durante as últimas semanas, parece que o problema era como o nosso servidor Windows foi ativado. Parece que alguém inadvertidamente colocou uma chave do KMS por meio da GUI.
Isso resultou no sistema operacional não sendo ativado corretamente e não estando totalmente (?) associado ao domínio. Isso foi filtrado para não ser capaz de interagir com os controladores de domínio corretamente - a caixa de domínio de associação estava em cinza - e a entrada de DN necessária para que a diretiva de grupo funcionasse sem ser preenchida. No final, a caixa de junção out greyed out era a pista de que eu precisava, indicando um problema com a licença do Windows.
Quando eu digitava uma chave MAK e colocava as informações do KMS via cscript
cscript slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
, como deveria ter sido, tudo começou a funcionar exatamente da maneira esperada.
Espero que isso ajude outra pobre alma em um mês de trabalho extra.