Encontrou uma solução alternativa que explora um buraco óbvio no recurso "aplicativos restritos" da Diretiva de Grupo. Simplesmente renomeando um executável para o nome do arquivo de um aplicativo confiável, você pode ignorar a política.
A solução que eu cheguei está abaixo (você teria muitas variantes similares / mais simples disso para funcionar; elas não funcionam). Espero que isso ajude alguém.
- Renomeie uma cópia de 'cmd.exe' para algo permitido, por exemplo 'chrome.exe'
- Também renomeie uma cópia de 'mmc.exe'
- Use a linha de comando em funcionamento para iniciar o console de gerenciamento
- No console de gerenciamento, adicione o snap-in da Diretiva de grupo
- Resolva seu erro descuidado
O console de gerenciamento não será executado a partir do explorer depois de ser renomeado, portanto, a etapa da linha de comando é necessária.