Политика домена по умолчанию настроена так, чтобы разрешить восстановление системы. Параметры реестра в политике также настроены на обновление шестнадцатеричного значения реестра компьютера для восстановления до 00000000. Это применяется примерно в 50% случаев. В остальных 50% случаев он игнорирует это и устанавливает шестнадцатеричное значение 00000001, что лишает пользователей возможности создавать точку восстановления.
Другой политики для OU нет, она должна применять политику домена по умолчанию.
Я предполагаю, что у вас более одного контроллера домена, и похоже, что у вас есть проблема репликации между ними, компьютеры, которые работают, вероятно, получают объект групповой политики с контроллера домена, на котором он был создан, а те, которые нет, с другого.
Эти номера ревизий предполагают репликацию AD, но не Sysvol, вы можете подтвердить это, проверив номер версии в GPT.ini внутри Sysvol на каждом из контроллеров домена для этого GPO:
\\<SERVERNAME>\Sysvol\<DOMAINNAME>\Policies\<GPOID>\gpt.ini
Если это так, вам необходимо устранить неполадки репликации, вы можете попробовать принудительно, но как это сделать, зависит от того, используете ли вы NTFSR (2003) или DFS (2008+) для репликации Sysvol ...
Другой ресурс для проблем репликации AD - это TechNet страница, на которой есть длинный список техник, которые следует учитывать.
Для других людей с тем же вопросом, если это НЕ ошибка репликации:
Используйте Powershell Get-GPResultantSetOfPolicy против машины и сохраните результаты как HTML. Результат очень похож на макет редактора GPO. Но ключевая особенность заключается в том, что для каждого параметра указываются все применяемые политики и какая из них победила. Кроме того, не забудьте указать пользователя, если вы оцениваете политику пользователя. Не уверен, что можно сделать это удаленно.