Компьютер является членом следующих групп безопасности — не применяется. У кого была такая ошибка?

Добрый день!

Исходные данные:
Доменная сеть на Windows Server 2012 R2 с таким же режимом работы домена. Клиентские компы 99% Windows 10 Pro.

Проблема:
В Active Directory создается группа для фильтрации GPO и туда добавляются компьютеры (к GPO группа пока не привязана и это значения не имеет).
На компьютере делается gpupdate /force и отправляется в ребут. После загрузки делаем gpresult /r /scope computer и видим, что в разделе "Компьютер является членом следующих групп безопасности" группы нет. ОК. Повторяем процедуру gpupdate-reboot-gpresult, результат тот же, группы нет.
Сама группа находилась сначала в отдельном OU, потом была перемещена в Users.

Решение проблемы:
Опытным путем было выяснено, что если на компьютер действует политика назначения программного обеспечения, (не важно какого, проверено на разных политиках) то он не вступает ни в какие группы после перезагрузки, т.е. в разделе "Компьютер является членом следующих групп безопасности" группа не появляется (даже спустя неделю). Как только для тестового компа на политику назначения софта ставится запрет чтения и применения, группа сразу же появляется.
Такое поведение справедливо только для Windows 10, серверные ОС добавлялись без проблем, одна из машин на Windows 7 тоже без проблем приняла группу.
Еще провели эксперимент на свежем тестовом домене, там на Windows 10 такое поведение не подтвердилось. Сервер был 2016-й.

Вопрос:
У кого похожая конфигурация домена (контролер домена = 2012R2, компы = Windows 10), можете проверить? Кто-то сталкивался с таким багом?

Причина понятна, а решение не совсем. То ли у нас домен кривой, то ли ошибка 2012-й / 10-ки и пора переезжать.