LogonServer ou mesmo nltest / dsgetdc podem não refletir com precisão qual controlador de domínio é usado para obter diretivas de grupo. Já vi cenários em que o controlador de domínio local está sendo usado corretamente para autenticação, mas um controlador de domínio em outro site para diretivas de grupo.
Você precisa realizar:
- uma captura de pacote netmon do logon lento em uma estação de trabalho afetada.
- confirme se nltest / dsgetdc: está usando o controlador de domínio correto e o endereço IP correto (se for multi-homed - esperançosamente não).
- ative o log de depuração do ambiente de política de grupo na estação de trabalho afetada e revise os logs por: link
Ativando o Log do UserEnv no Windows 7
No Windows 7, o processamento de GPOs é executado por um serviço chamado "Cliente de Diretiva de Grupo". Um arquivo de log pode ser gravado pelo serviço ao implementar o seguinte valor do registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics]
"GPSvcDebugLevel"=dword:00030002
O arquivo de log resultante será % WINDIR% \ debug \ usermode \ gpsvc.log