すげー恥ずかしいが、得られた結果を忘れないようにメモ。

• 現象

LANカードを複数装着した「マルチホーム」環境のマシンをドメインコントローラにしたときにグループポリシーの編集ができなくなるというもの。

• 原因

いろいろありすぎて分からない。*1

• 原因らしきもの

Windows Server 2003の初期設定の一部である「ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」の設定が、ポリシー変更後も残る。
グループポリシー操作時、ローカルポリシーからアクセスする場合は、%systemroot%\sysvol\sysvol\Domain name\Policies配下のポリシーを直接操作するが、グループポリシーの場合は、自身がドメインコントローラであっても、\\Domain name\sysvol\Domain name\Policiesからアクセスするため、ネットワークアクセスとなる。
ローカルのNTFSアクセス権を変更しても参照できない場合は、パスワードが無いと直接ログオンしか許可しないポリシーがあるのでそれに引っかかるっぽい

• 対処

Adminisratorもしくは、ドメインコントローラを使用する管理者には必ずパスワードを設定すること。