P: No entanto, a simples criação de um GPO e a configuração "Desativar a atualização automática de certificados raiz" como Desativada não inverte isso. Existe alguma maneira de fazer isso? Ou eu tenho que empurrar um script que realmente vira a configuração HKLM: \ SOFTWARE \ Políticas \ Microsoft \ SystemCertificates \ AuthRoot \ DisableRootAutoUpdate?
A: A Diretiva de Grupo não modifica diretamente essa chave / valor do Registro, pois não é como a Diretiva de Grupo funciona (na maioria das vezes). A Política de Grupo não modifica diretamente (tatuagem) as configurações do Registro.
O que você deve procurar não é o estado dessa chave / valor do Registro, mas se o comportamento mudou ou não para o comportamento desejado.
Faça uma leitura no link para mais informações sobre a Política de Grupo e o Registro: