I copied the old policy to a new name and unlinked the default policy.
Você vincula a diretiva de domínio padrão desativada?
Não é uma prática recomendada, não é recomendada, provavelmente nem é suportada. Explicaria porque está faltando RSOP e seus resultados erráticos.
Você pode querer usar a ferramenta DCGPOFix
para reparar o DDP.
link
Observe o que é dito deve e não deve ser incluído no DDP:
As a best practice, you should configure the Default Domain Policy GPO only to manage the default Account Policies settings, Password Policy, Account Lockout Policy, and Kerberos Policy.
- Faça backup de ambos os GPOs - de preferência, você já fez isso antes de sua primeira tentativa de correção.
- Remova as configurações nessas áreas do seu "Novo" GPO. Você não deseja aplicar essas configurações definidas em vários GPOs.
- Use a ferramenta
DCGPOFix
ou remova manualmente todas as configurações de outras áreas do GPO do DDP. - Reabilite o link para o GPO do DDP.
- Cruze os dedos