【Active Directory】パスワードレプリケーションポリシーは拒否判定のほうが強い

以下では、User2がAllowd RODC Password Replication Groupに所属しているからパスワードキャッシュが効くと思いきや、バイネームで拒否設定が入っていので、どっちが勝つのかなという疑問。

結果として、拒否設定のほうが強いので、パスワードキャッシュされなくなる。ということみたい。
こういう競合しそうな設定はセキュリティ的な観点からか、やっぱりできないほうが勝つようになっているのが王道なんだろう。って思った。