GPO, связанные с RDP, не применяются

Недавно мы выполняли очистку нашего домена, активного каталога, групповых политик и т. Д. Наша DNS-зона MCSDCS находилась не в том месте, наш SYSVOL не реплицировался, поскольку он был заблокирован из-за ошибки переноса журнала более года, и наш центральный репозиторий определений политики в какой-то момент обстрелял себя. Таким образом, в целом наш домен страдал от многих лет, через которые проходило слишком много разных системных администраторов с разным уровнем опыта, а также был обновлен с 2000 - 2003, а затем с 2003 - 2008, и мы готовимся сделать еще одно обновление в следующем году.

В любом случае одной из проблем, с которой мы столкнулись, была очень раздутая политика домена по умолчанию, в нее были добавлены всевозможные случайные настройки. Некоторые настройки, я думаю, в какой-то момент устарели, и я не могу найти их, чтобы отключить их в редакторе. Я вытащил много вещей в другие связанные с темами объекты групповой политики, убедился, что они все еще консолидированы и т. Д. После того, как мы это сделали, все наши настройки RDP вернулись к настройкам по умолчанию практически на всех машинах в здании - хотя не на всех но не очевидный другой шаблон, основанный на OU пользователя или ПК, или Win 7 против Win 10 и т. д. Мы не используем брандмауэр Windows, поэтому это не связанные с брандмауэром настройки. Это конкретные настройки в Свойства системы> вкладка "Удаленный".

Это тот момент, когда я понял, что наши шаблоны администратора в центральном репозитории были уничтожены (я немного новичок в администрировании домена Windows). Я предположил, что либо в Политике домена по умолчанию, либо в одной из других политик, которые я исправлял или удалял, были включены некоторые параметры, которые я не видел в редакторе в объекте групповой политики, потому что у нас даже не был загружен этот шаблон политики. Поэтому после загрузки в шаблоны по умолчанию я отредактировал правильную настройку, применил объект групповой политики, принудительно обновил... и ничего. Я сделал принудительное принудительное принудительное выполнение, я убедился, что это ударит моего пользователя, подтверждено в GPRESULT, а затем я даже связал его в ближайшем к моим объектам AD объекте USER и PC... и все еще ничего.

Я вручную добавил два ключа реестра в объект групповой политики, чтобы разрешить удаленный рабочий стол и не требовать NLA. Еще ничего. Я могу переключать эти разделы реестра вручную, и изменение настроек обратно на панели свойств системы изменяет ключи обратно для подтверждения, но они не изменяют ключи в GPO.

Я запустил GPRESULT в области видимости: настройка компьютера. Я вижу следующее:

Настройки этого объекта отображаются в "Настройках"

Политика отображается в разделе "Прикладные объекты групповой политики" и гласит "Принудительно = Да"

Правильный выигрыш GPO указан в отдельных настройках, в разделе реестра указано "результат: успех".

Да, эти настройки не меняются на моем ПК после нескольких GPUPDATE /FORCE, перезагрузок, ожидания цикла обновления объекта групповой политики (плюс максимальное значение смещения) и без изменений!

Кто-нибудь может указать мне правильное направление здесь? Любая помощь приветствуется!

РЕДАКТИРОВАТЬ:

Конкретные параметры: Подход к шаблону администратора: Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Соединения Разрешить пользователям подключаться удаленно с помощью Служб удаленных рабочих столов - Включено

Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Безопасность Требуется проверка подлинности пользователя для удаленных подключений с использованием проверки подлинности на уровне сети - отключено

Подход с использованием ключа реестра: HKEY_LOCAL_MACHINE SYSTEM \ CurrentControlSet \ Control \ Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)

HKEY_LOCAL_MACHINE SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)

Они ОБА компьютерные изменения.

Я попытался сделать это с помощью объекта групповой политики в рамках подразделения ПК, а также попытался поместить объект групповой политики в область действия как пользователя, так и ПК.