Die genannte Variante klappt tatsächlich, aber sie erscheint mir wenig praktikabel...
Das gleiche Problem was in Deinem Netz auftritt, mit dem gleichen Verhalten beschäftigt (bestressigt) mich in unserem Schulnetzwerk auch schon seit längerer Zeit. Hat denn schon jemand eine Lösung des Problems gefunden, um dieses Verhalten abzustellen und bestehende user einzubinden ?
( user meldet sich am client an, ist seine Sicherheitsgruppe Mitglied der Domänen-Admins greifen die GPOs, wird seine Sicherheitsgruppe aus den Domänen-Admins rausgenommen, dann greifen sie nicht mehr. Und die Krönung: Wird mit gpresult eine Abfrage clientseitig gestartet, dann wird in beiden Fällen die Übernahme der GPOs angegeben....).
Grüsse,
Klaus