Имеется машина на Win 10 Pro, входящая в домен. По групповой политике RDP запрещено. Пытаюсь перебить его групповой политикой, fDenyTSConnections в реестре - не срабатывает. Скриншот (https://www.linkpicture.com/q/photo_5231285757715531606_y.jpg) ситуации прилагаю (в верхней части результат rsop.msc - результирующая политика).

Как решить проблему, не меняя групповую политику?

Благодарю!

Чего Вы хотите добиться этим?

Вы понимаете значение "Default Domain Policy"?

Для разового включения Вы можете удалить параметр политики из реестра пользовательского АРМ, настройка вернётся взад при следующем обновлении/ применении политики.

NickM,Для разового включения Вы можете удалить параметр политики из реестра пользовательского АРМ »А не подскажете какой именно?

Чего Вы хотите добиться этим? »Я хочу для одной из машин разрешить RDP на постоянной основе, не трогая при этом ту самую "Default Domain Policy". Можно ли как-то это сделать? Или тут только вариант менять эту политику?

не трогая при этом ту самую "Default Domain Policy". »
По большей части её вообще трогать не надо было, а так да - создавать отдельную политику и настраивать как того положено/ требуется;

А не подскажете какой именно? »
Allow users to connect remotely by using Remote Desktop Services (https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.TerminalServer::TS_DISABLE_CONNECTIONS)

NickM, оказывается, уже есть политика, разрешающая RDP. Назначил ее на нужный ПК (точнее добавил ПК в нужную группу), только непонятно теперь как ее применить на данной машине. Попробовал там gpupdate /force и получил на это:
Выполняется обновление политики...

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Windows пыталась получить новые параметры групповой политики для этого пользователя или компьютера. На вкладке "Подробности" можно найти код и описание ошибки. Windows автоматически повторит попытку выполнения этой операции при следующем цикле обновления. Присоединенные к домену компьютеры должны успешно проходить процесс разрешения имени и иметь подключение к контроллеру домена для обнаружения новых объектов групповой политики и их параметров. Когда обработка групповой политики будет выполнена успешно, это событие будет записано в журнал.
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\wrk.dmn.ru\sysvol\wrk.dmn.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.
Попытался с этой машины обратиться по пути к \\wrk.dmn.ru\sysvol - получил ошибку доступа. При этом странно, что при обращении к \\wrk.dmn.ru\ показываются все каталоги, но при обращении к любому из них выдается ошибка доступа. А вот если, если обратиться по соответствующему IP (в которой резолвится wrk.dmn.ru), то к некоторым каталогам обратиться уже можно, однако к \\wrk.dmn.ru\sysvol по-прежнему нельзя. При этом я работаю из-под учетки администратора домена.
Фигня какая-то... Думал в одном шаге от решения проблемы, а тут повылазило... :(

Да, Вам следует разобраться с применением политик.

уже есть политика, разрешающая RDP. Назначил ее на нужный ПК (точнее добавил ПК в нужную группу), только непонятно теперь как ее применить на данной машине. »
Не запутайтесь в политиках, если одна будет разрешать, а другая запрещать, то не сможете добиться желаемого.

Читайте за порядок применения политик, здесь (https://windowsnotes.ru/activedirectory/primenenie-gruppovyx-politik-chast-1/) в картинках.

NickM, да с порядком я определился.

Мне больше непонятно, как возможно, что через доступ по IP имеется возможность обратиться к каталогу, а через имя - нет. При этом и по имени и по IP общий список шар открывается... Как такое может быть вообще?

Проверка доступности доменных служб по IP в общем случае не имеет значения.

Всегда следует обращаться через FQDN и если этот вариант не работает - разбираться.