GPOs relacionados ao RDP não estão sendo aplicados

Recentemente, limpamos nosso domínio, diretório ativo, políticas de grupo, etc. Nossa zona DNS MCSDCS estava no lugar errado, nosso SYSVOL não estava replicando porque estava bloqueado em um erro de quebra de diário por mais de um ano, e nosso repositório central de Definições de Políticas se destruiu em algum momento. Portanto, no geral, nosso domínio sofreu durante anos passando por muitos administradores de sistema diferentes com níveis variados de experiência, e também foi atualizado de 2000 a 2003 e depois de 2003 a 2008 e estamos nos preparando para fazer outra atualização no próximo ano.

De qualquer forma, um problema que parecíamos ter era uma Política de Domínio Padrão muito inchada, todos os tipos de configurações aleatórias foram adicionadas a ela. Acho que algumas configurações foram obsoletas em algum momento e não consegui encontrá-las para desativá-las no editor. Peguei um monte de coisas em GPOs mais relacionados ao tópico, certifiquei-me de que eles ainda estavam consolidados, etc. Depois que fizemos isso, todas as nossas configurações de RDP voltaram ao padrão em quase todas as máquinas do prédio - mas não em todas, mas não é outro padrão óbvio baseado na unidade organizacional do usuário ou PC, ou Win 7 vs Win 10, etc. Não usamos o firewall do Windows, portanto, não são as configurações relacionadas ao firewall. São as configurações específicas na guia Propriedades do sistema > Remoto.

Este é o ponto em que percebi que nossos modelos de administração no repositório central foram destruídos (sou um pouco novo na administração de domínios do Windows). Meu palpite era que a política de domínio padrão ou uma das outras políticas que eu estava corrigindo ou removendo incluía alguma configuração que não consegui ver no editor do GPO porque nem tínhamos esse modelo de política carregado. Então depois de carregar os templates padrão editei a configuração correta, apliquei o GPO, forcei a atualização... e nada. Fiz com que a aplicação dolorida fosse forçada, certifiquei-me de que atingiria meu usuário, confirmei no GPRESULT e até vinculei nas UOs USER e PC mais próximas dos meus objetos AD... e ainda nada.

Adicionei manualmente as duas chaves de registro ao GPO para permitir a área de trabalho remota e não exigir NLA. Nada ainda. Posso alternar essas chaves de registro manualmente e alterar as configurações no painel de propriedades do sistema altera as chaves de volta para confirmar, mas o GPO não altera as chaves.

Executei GPRESULT na configuração scope:computer e vejo o seguinte:

As configurações desse GPO aparecem em ‘configurações’

A política aparece em 'GPOs aplicados' e diz 'Aplicado = Sim'

O GPO vencedor correto está listado nas configurações individuais, as chaves do registro dizem 'resultado: sucesso'.

Sim, essas configurações não mudam no meu PC após vários GPUPDATE/FORCE, reinicializações, aguardando o ciclo de atualização do GPO (mais o valor máximo de deslocamento) e nenhuma alteração!

Alguém pode me indicar a direção certa aqui? Qualquer ajuda seria muito apreciada!

EDITAR:

Configurações específicas: Modelo de administração Abordagem: Componentes do Windows/Serviços de área de trabalho remota/Host de sessão de área de trabalho remota/Conexões Permitir que os usuários se conectem remotamente usando os Serviços de área de trabalho remota - Habilitado

Componentes do Windows/Serviços de Área de Trabalho Remota/Host de Sessão de Área de Trabalho Remota/Segurança Exigir autenticação de usuário para conexões remotas usando Autenticação em Nível de Rede - Desativado

Abordagem da chave de registro: HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)

São AMBAS mudanças no computador.

Eu tentei isso com o GPO no escopo da UO PC e também tentei colocar o GPO no escopo do Usuário e do PC.