Связанные с RDP GPO не применяются

Недавно мы очистили наш домен, активный каталог, групповые политики и т. Д. Наша зона DNS MCSDCS находилась в неправильном месте, наш SYSVOL не реплицировался, потому что он был заблокирован ошибкой переноса журнала более года, а наш центральное хранилище определений политик в какой-то момент подверглось атаке. Таким образом, в целом наш домен пострадал от многих лет работы с множеством разных системных администраторов с разным уровнем опыта, а также был обновлен с 2000 по 2003, а затем с 2003 по 2008, и мы готовимся сделать еще одно обновление в течение следующего года.

В любом случае, у нас возникла проблема с очень раздутой политикой домена по умолчанию, в которую были добавлены всевозможные случайные настройки. Некоторые настройки, я полагаю, в какой-то момент устарели, и я не мог найти их, чтобы отключить их в редакторе. Я вытащил много вещей в более тематические объекты групповой политики, убедился, что они все еще консолидированы и т. Д. Как только мы это сделали, все наши настройки RDP вернулись к значениям по умолчанию практически на всех машинах в здании - хотя не на всех, но не очевидный другой шаблон, основанный на OU пользователя или ПК, или Win 7 против Win 10 и т. д. Мы не используем брандмауэр Windows, поэтому его настройки не связаны с брандмауэром. Его конкретные настройки находятся на вкладке «Свойства системы»> «Удаленный».

Это момент, когда я понял, что наши шаблоны администратора в центральном репозитории были взорваны (я сам немного новичок в администрировании домена Windows). Я предполагал, что либо политика домена по умолчанию, либо одна из других политик, которые я исправлял или удалял, включали некоторые параметры, которые я не мог видеть в редакторе в GPO, потому что у нас даже не был загружен этот шаблон политики. Итак, после загрузки шаблонов по умолчанию я отредактировал правильную настройку, применил GPO, принудительно обновил ... и ничего. Я сделал принудительное принудительное применение, я убедился, что он попадет в моего пользователя, подтвержден в GPRESULT, а затем я даже связал его в USER и PC OU, ближайшем к моим объектам AD ... и все равно ничего.

Я вручную добавил два раздела реестра в объект групповой политики, чтобы разрешить удаленный рабочий стол и не требовать NLA. Еще ничего. Я могу переключать эти ключи реестра вручную, и изменение настроек обратно на панели свойств системы меняет ключи обратно для подтверждения, но GPO не меняет ключи.

Я запустил GPRESULT в настройках scope: computer, я вижу следующее:

Параметры этого объекта групповой политики отображаются в разделе "Настройки".

Политика отображается в разделе «Примененные объекты групповой политики» и говорит «Принудительно = Да».

Правильный победивший объект групповой политики указан в отдельных настройках, в разделе реестра указано «результат: успех».

Да, эти настройки не меняются на моем ПК после нескольких GPUPDATE / FORCE, перезагрузок, ожидания цикла обновления GPO (плюс максимальное значение смещения) и без изменений!

Может ли кто-нибудь указать мне здесь правильное направление? Любая помощь приветствуется!

РЕДАКТИРОВАТЬ:

Конкретные параметры: Подход с использованием шаблона администратора: Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Подключения Разрешить пользователям подключаться удаленно с помощью служб удаленных рабочих столов - Включено

Компоненты Windows / Службы удаленного рабочего стола / Узел сеанса удаленного рабочего стола / Безопасность Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети - отключено

Подход с использованием ключа реестра: HKEY_LOCAL_MACHINE SYSTEM \ CurrentControlSet \ Control \ Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)

HKEY_LOCAL_MACHINE SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)

Это ОБА компьютерные изменения.

Я пробовал это с GPO в рамках PC OU, а также попытался поместить GPO в область действия как пользователя, так и ПК.