C "Server policy" я уже разобрался, эта политика применяется даже при наложении дополнительного правила...
Надо было создание политики (block и update) назначить как дочерние от "Server policy".

А вот вопрос, с клиентом который попадает под два или более правила, остается открытым.

Наверно буду писать в поддержку...  :(

Решил я поюзать "Policy Rules", да бы не перечеслять всю построеную схему, наведу маленький пример:

1 сервер (v. 4.0.138), 10 клиентов (v. 4.0.474)

Клиенты получают сконфигурированую заранее политику - "Server Policy" (Default Policy). При изменении этой политики все клиенты ее применяют, короче, все прекрасно работает.
Создаются две отдельние политики (которые никуда не наследуются и никому не применяются) для "специальных случаев" - block (блокирование USB); update (альтернативный сервер обновления). Под них создаются правила (назовем их соответственно block_rule и update_rule).
Вlock_rule применяется к диапазону IP адресов, а update_rule применяется к групе, в которуй иногда попадают клиенты.
А вот и проблема: когда клиент попадает под оба правила, он применяет только одно правило, которое в консоли стоит первым, а второе игнорируется.  
Вопрос: так задумано или я что-то не учел?

PS. Только что заметил, что при попадении клиента под любое правило даже изменения в "Server Policy" уже не применяются. Я почему-то считал что политики применяются приблизительно по аналогии с GPO в AD.

Всем большое спасибо!
В английском конфигураторе отметил "на удаление" исключения, сохранил в xml и разбросал всем клиентам. Все пашет на 100%!
Теперь планирую переход на английскую версию... :)

Еще раз огромное спасибо, за потраченное время!

Так я, именно так и делаю..., и ничего.
Пошагово: на серваке, в диспетчере политик, захожу в исключения, выделяю там все, нажимаю "отметить для удаления", подтверждаю, в статусе в каждой строке исключений светится "удалить", жму "OK". И вот результат: у старых клиентов ничего не очищается, а у новых появляются, те самые преславутые исключения.
Ну ладно..., а такой вариант, если допустим, раньше пользователи сами добавляли в исключения, что хотели, а потом, админ установил сервак, (короче, централизовал это дело, с политиками, с паролями), как быть тут? Как почистить у всех исключения, если они у всех разные?
Ну не ходить же по пользователям и не удалять это дело руками...

... повтор ...

Вот..., пожалуйста

Спасибо за ответ. Это я уже проделывал, но решил попробовать еще разок, результат тот же. Мало того, новые клиенты, также прописали "исключения". Так что вопрос актуален...

Есть сервак, с настроенными политиками. Все клиенты, подключаются, и работают с актуальной конфигурацией.
Несколько месяцев назад, в конфигурацию, в раздел "исключения" были внесены изменения (несколько папок и фалов)! Сейчас нужда в них отпала, и они были удалены из политик. Но, я обнаружил, что у клиентов, они (исключения) остались, и любые манипуляции с конфигурацией не спасают, кроме как непосредственно у клиента "ручками" убрать исключения или сделать импорт конфигурации с пустым списком "исключений", опять же "ручками".
Вопрос: как удаленно (политиками) очистить клиентские "исключения"?