Решил я поюзать "Policy Rules", да бы не перечеслять всю построеную схему, наведу маленький пример:

1 сервер (v. 4.0.138), 10 клиентов (v. 4.0.474)

Клиенты получают сконфигурированую заранее политику - "Server Policy" (Default Policy). При изменении этой политики все клиенты ее применяют, короче, все прекрасно работает.
Создаются две отдельние политики (которые никуда не наследуются и никому не применяются) для "специальных случаев" - block (блокирование USB); update (альтернативный сервер обновления). Под них создаются правила (назовем их соответственно block_rule и update_rule).
Вlock_rule применяется к диапазону IP адресов, а update_rule применяется к групе, в которуй иногда попадают клиенты.
А вот и проблема: когда клиент попадает под оба правила, он применяет только одно правило, которое в консоли стоит первым, а второе игнорируется.  
Вопрос: так задумано или я что-то не учел?

PS. Только что заметил, что при попадении клиента под любое правило даже изменения в "Server Policy" уже не применяются. Я почему-то считал что политики применяются приблизительно по аналогии с GPO в AD.

Есть сервак, с настроенными политиками. Все клиенты, подключаются, и работают с актуальной конфигурацией.
Несколько месяцев назад, в конфигурацию, в раздел "исключения" были внесены изменения (несколько папок и фалов)! Сейчас нужда в них отпала, и они были удалены из политик. Но, я обнаружил, что у клиентов, они (исключения) остались, и любые манипуляции с конфигурацией не спасают, кроме как непосредственно у клиента "ручками" убрать исключения или сделать импорт конфигурации с пустым списком "исключений", опять же "ручками".
Вопрос: как удаленно (политиками) очистить клиентские "исключения"?