Um dos meus favoritos "DNS é a resposta, a questão não importa".
Políticas de grupo são armazenadas na pasta FQDN \ Sysvol \ FQDN \ Policies - se você não conseguir resolver seu FQDN da sua solução de DNS, o processamento do GPO falhará.
Um domínio do Active Directory precisa do DNS, ele não tem como DNS Integrado do AD (instalando a função de servidor DNS no Controlador de Domínio), mas é mais fácil de administrar. Se você fizer isso, poderá apontar todos os computadores do seu domínio para o Controlador de Domínio para DNS e pronto.
O controlador de domínio deve ter um único IP estático, listado como uma prática recomendada e, normalmente, todos os servidores, devido à sua natureza de estar online para solicitações de serviço, usam IPs estáticos. Com isso em mente, os IPs não deveriam estar mudando. Se o IP for alterado, existem vários scripts para alterar programaticamente os IPs do servidor DNS do computador membro, faça uma pesquisa.
Como o computador adota o script vbs? Precisa de DNS para resolver o nome de domínio para participar. Contanto que o script funcione, o computador já está apontando para um servidor DNS que aponta para o domínio e o processamento da Diretiva de Grupo deve estar correto. Aviso: você pode obter uma associação "bem-sucedida" sem realmente se unir graças à decisão genial da Microsoft de incorporar "associação offline de domínio" para reduzir a aparência de erros. A melhor maneira de testar isso é fazer o login com uma conta de domínio real. Se você receber um erro do tipo "o domínio não está acessível", provavelmente você ainda tem um problema de DNS.