Роман Безруков

ОС: Win11 и WinSrv2022

WMIC is deprecated as of Windows 10, version 21H1; and as of the 21H1 semi-annual channel release of Windows Server. This utility is superseded by Windows PowerShell for WMI; see Chapter 7 - Working with WMI. This deprecation applies only to the WMIC utility. Windows Management Instrumentation (WMI) itself is not affected.

тут

Starting January 29, 2024, you'll find Windows Management Instrumentation Command line (WMIC) feature "disabled by default" on the insider build of Windows 11. If your application is dependent on WMIC, please migrate away from it using this post as a guide. Let's catch up on the latest and learn how you can use PowerShell and programmatic ways to query WMIC today.

тут

что можно предпринять?

перейти на PowerShell - Working with WMI
по портам: нужны 135 (RPC) и 49152-65535 (DynRPC)

По опыту - в большинстве случаев простого уведомления в почте бывает достаточно. В "тяжелых" случаях - делайте принудительно в нерабочее время
Как через GPO принудительно перегрузить комп
Можно создать задачу в планировщике с PS-скриптом, который, например, проверяет uptime компа каждые 4-6 часов, если uptime больше, скажем, 240 часов - принудительно перегружает комп (нужную логику добавить по вкусу).

Дополнительно - внутренние административные меры, например, документ "Правила работы в корпоративной сети", который подписывает каждый пользователь, и согласно которому пользователь раз в неделю в обязательном порядке должен перегружать свой комп - иначе временный бан во внутреннем хелпдеске/ТП и т.д. (тут простор для фантазии)

видимо, про эту политику речь:
User Configuration -> Administrative Templates -> Network -> Network Connections -> Prohibit access to properties of components of a LAN connection

А почему вы не идете к админу вашей организации с этой задачей? Он точно знает, как сделать исключения из ограничений (ибо ежедневную смену пароля локального админа кто-то же сделал - а это либо скрипт, либо LAPS).
По задаче, из того, что в голову пришло: startup-скрипт или задача по расписанию на запуск приложения.

Как включить и настроить WinRM

Все контроллеры домена равнозначны - поэтому редактировать GPO можно на любом, где есть компонент Group Policy Management и достаточно прав. По вашему описанию я понял, что вы сбрасываете в "дефолт" какую-то политику на одном КД и тут же, не дожидаясь репликации, настраиваете ее на другом контроллере - кто вас научил делать именно так?
Обычный порядок такой: меняем политику - ждем репликацию (или подпинываем ее через repadmin) - выполняем gpupdate /force на клиенте - проверяем результат через gpresult /r или gpresult /h.
Kerberos Policy - политика уровня домена (domain-wide). Параметры настраиваются или в Default Domain Policy, или в отдельной политике, которая привязывается к корню домена и имеет более высокий приоритет, чем Default Domain Policy.
Не помешает проверить здоровье контроллеров домена (репликацию, ошибки и т.д.)

групповые политики и административные шаблоны Office:
Разрешить надежные расположения в сети
Отключить предупреждения гиперссылок
Enable or disable hyperlink warning messages in Of...

А нет никакой проблемы - доменные политики так работают.
1. Вы, как я понял, хотите увидеть изменения через GPEDIT - а он читает файлы registry.pol с настройками локальных политик из двух каталогов:

%SystemRoot%\System32\GroupPolicy\Machine\registry.pol
%SystemRoot%\System32\GroupPolicy\User\registry.pol

2. Доменные политики не перезаписывают указанные выше файлы от GPEDIT.
3. Файлы registry.pol всех примененных доменных политик кэшируются в каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\mydomain.loc\Policies. При этом каждая политика хранится в отдельном каталоге с GUID доменной политики.
4. Правильный инструмент для проверки применения доменных политик - это GPRESULT, как сказал MVV.

Мне думается, что для таких задач чаще используют GPP, возможно, в связке с соответствующей GPO или без оной. Драйверы принтеров на терминальные серверы лучше ставить руками. И на принт-сервере не помешает обновить их до последних версий.
Перегружать не нужно - достаточно gpupdate /force. В исключительных случаях может дополнительно потребоваться перезапуск службы Printer Spooler.
Проверьте внимательно по шагам, что у вас все сделано правильно.

А что Вам мешает поместить вот этот кусок:

function New-FolderForced {
    [CmdletBinding(SupportsShouldProcess = $true)]
    param (
    [Parameter(Position = 0, Mandatory, ValueFromPipeline, ValueFromPipelineByPropertyName)]
    [string]
        $Path
    )

    process {
        if (-not (Test-Path $Path)) {
            Write-Verbose "-- Creating full path to:  $Path"
            New-Item -Path $Path -ItemType Directory -Force
        }
    }
}

в начало своего скрипта (это ж просто функция-обертка для New-Item)? Тогда от импорта модулей можно отказаться

Microsoft Deployment Toolkit