Import GPO settings from a file and apply the policy to a specific local user:
lgpo /u:username "C:\tmp\Registry.pol"
А через что ещё можно ограничить доступ к Проводнику, кнопке Пуск, и т.д. и т.пнапример, административные шаблоны - компоненты Windows (и в компьютерной секции, и в пользовательской)
в назначении прав что-то не нашёл.плохо смотрели, права назначаются через группу и т.д. Сравните права и группы на обеих учетках, исправьте расхождения при необходимости
внутри одного OU существуют другие OU и объект перемещается между этими OU? Операция перемещения предполагает копирование объекта в целевой OU и удаление в исходном OU, т.е. нужны права на удаление объекта. При перемещении у объекта меняется Distinguished Name, ибо оно должно быть уникальным.
что происходит у таких пользователей при попытке самостоятельно сменить пароль через Ctrl+Alt+Del ? С наследованием прав все в порядке? По пути там нигде наследование не отключается? У пользователей группы Help Desk какое значение у атрибута AdminCount?
какие эффективные права имеете для OU,в котором живет группа Help Desk?
Что есть в системных журналах и журналах соответствующих служб?