roles/role_name/vars/main.yml. Скорее всего вы выносите эту переменную в host_vars или group_vars, что логично, но не достаточно, поскольку roles/role_name/vars/main.yml имеет больший приоитет. Для решения я бы рекомендовал использовать roles/role_name/defaults/main.yml файл, он имеет наименьший приоритет и переменная будет переопределена из любого другого места, если там объявлена. vars на defaults или же перенесите только эту переменную в defaults 
SELECT * FROM (
-- Внутренний подзапрос, применяющий оконную функцию LAG() к таблице calls
SELECT *,
LAG(duration) OVER (PARTITION BY cid_from ORDER BY call_time) AS previous_duration
FROM calls
) AS subquery
-- Основной запрос, фильтрующий результаты
WHERE duration > 20 -- Длительность звонка больше 20 минут
AND previous_duration < 2; -- Предыдущая длительность меньше двух минут
показывает все правила в группе - а их там дваGet-NetFirewallRule -DisplayGroup "Remote Scheduled Tasks Management"
Set-NetFirewallRule...-Enabled $true
Пользователь появляется в членах группы, но не получает права на ...Чтобы права появились, пользователю нужно перелогиниться - выйти из системы и снова зайти под своим именем. Это не зависит от Active Directory, это не зависит от Powershell. Тот же принцип работает, даже если пользователь локальный и вы добавите его в групу вручную без скриптов - перелогиниваться всё равно нужно, что права группы подействовали.
$templateuser='a.khramov'
$templatehours= Get-ADUser -Identity $templateuser -properties logonHours
Get-ADGroupmember "msk-VPN_Users" |foreach {Set-ADUSer $_.samaccountname -Replace @{logonHours = $templatehours.logonHours} }