Домен Windows Server 2008R2. Терминальный сервер Windows Server 2016.
Сконфигурирована политика с параметрами Software Restriction Policy.
Явно разрешен запуск логон скриптов по пути к скриптам.
Logon скрипт не выполняется. При попытке запустить логон скрипт вручную появляется сообщение:

... cannot be loaded because its execution is blocked by software restriction policies. For more information, contact your system administrator.  

При включении расширенного логирования Software Restriction Policy там появляются сообщения вида:

... Disallowed using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}

В групповой политике правил AppLocker нет. Выполнено Clear Policy.
В локальной политике тоже самое.
При этом, такое поведение наблюдается только на части машин. На большинстве компов все в порядке.
Машины нормально получают обновления политик с помощью:

gpupdate /force /target:computer

В gpresult все изменения отражаются.

Оказалось, достаточно в локальной политике жмакнуть правой кнопкой по AppLocker, выбрать Properties, потом поставить все галочки Configured и выбрать во всех правилах - Audit Only.
Нажать Apply, а потом снять все галочки Configured и выполнить Clear Policy для AppLocker. Всё. После этого все заработало правильно.