Não encha tudo com o pensamento da Diretiva de Domínio Padrão (DDP) que lhe dá poderes especiais. Você só deve configurar o GPO de Diretiva de Domínio Padrão para gerenciar as configurações padrão de Diretivas de Conta, Diretiva de Senha, Diretiva de Bloqueio de Conta e Diretiva de Kerberos. (ref link especialmente o título "Processando GPOs: precedência") Se você cometer um erro ao editar o DDP, estará em um mundo de dor. É muito melhor ter outras configurações em suas próprias políticas para que você possa desvinculá-las quando tiver um erro.
As políticas são aplicadas com a seguinte ordem / precedência:
1) Local machine
2) Site (AD Sites)
3) Domain policy
4) OU
Remova as configurações de tela do DDP. Se você tiver outras políticas em vigor que também atribuam uma proteção de tela, será necessário remover as configurações de tela dessas políticas. Porque, se qualquer uma dessas políticas estiver vinculada abaixo da raiz do domínio, elas terão uma ordem de precedência maior e essas configurações vencerão. Por fim, crie uma nova política com configurações de tela e vincule-a à raiz do domínio. Use GPRESULT
para ver quais políticas estão sendo aplicadas e / ou RSOP
para ver de quais políticas as configurações de proteção de tela estão sendo entregues. Além disso, lembre-se de que essas são configurações baseadas em USER, portanto, até que alguém faça logon, sua política não será usada e a política de máquina local ainda vencerá.