Аналогичная история на КД 2008 R2
Проблема оказалась чуточку в другой плоскости:
1. Ну во-первых речь заведомо должна идти о "default domain
controllers policy" - ИМХО проверка BPA роли АД только на контроллерах домена имеет смысл
2. Ну и касаемо моей ситуации "Доступ к компьютеру из сети" у меня имел рекомендованные значения по умолчанию, модификация по вышеуказанным подсказкам результата не дала... А вот"Отказ в доступе к компьютеру из сети" был включен но с незаполненными значениями.
Решение - или заполнеяем этот параметр политики, например значением по-умолчанию(гостя то бишь добавить) или выключаем его совсем. После этого BPA на роли AД проходит без этой ошибки.
