А правил будет даже два. Во-первых, в деле применения GPO по домену следует быть особенно аккуратным, а во-вторых, когда используются reg-файлы настроек, то следует помнить, что:
CURRENT_USER part goes into a logon script
LOCAL_MACHINE part into a startup script
