Isso parece estar relacionado a uma atualização recente da Microsoft:
MS16-072: Atualização de segurança para a Diretiva de Grupo: 14 de junho de 2016
Esta atualização muda fundamentalmente como os GPOs são aplicados. A causa é bem resumida neste snippet do Entrada de blog da equipe de serviços de diretório da Microsoft :
When a user group policy is retrieved using the computer’s security context, the computer account will now need “read” access to retrieve the group policy objects (GPOs) needed to apply to the user.
Eu me atreveria a adivinhar que os usuários afetados têm essa atualização instalada em sua estação de trabalho ou no pool de VMs.
Se você tiver clientes com essa atualização, eles não poderão aplicar as configurações do usuário se a estação de trabalho não tiver a permissão Leitura (não necessariamente Aplicar ) à sua atribuição de impressora GPO. As configurações de segurança padrão incluem isso, mas se você personalizou a segurança e removeu Usuários autenticados da segurança, você terá problemas. Eu já vi essa prática recomendada em alguns livros mais antigos como uma medida para otimizar o GPO, mas é hora de extrair essa página agora.
A coisa mais simples a fazer é conceder permissão de leitura aos Usuários Autenticados ao GPO. Se você tiver muitos deles para corrigir, a Microsoft tem um script do PowerShell que pode ajudá-lo a atualizar eles. Como de costume, pesar esta informação com suas necessidades particulares. Se você não se sentir confortável em adicionar essa permissão a todos os Usuários autenticados , precisará encontrar ou fazer algum outro grupo para atribuir permissões de leitura às estações de trabalho.