GPO and Password options
 

Здравствуйте.
Вообщем сломал себе весь мозг. Прошу помощи. Присказка:
1. Доменная сеть contoso.com (все значения вымышлены), режим работы Windows Server 2008 R2 как и ОС DC.
2. Все пользователи и компьютеры разделены по своим OrganizationUnit

3. Прикручены групповые политики. Политика DefaultDomainPolicy удалена. Создана специальная политика Password_Options: Область действия - весь домен; Фильтр безопасности - Компьютеры домена. В данной политике:

4. Все клиентские машинки на Windows 7 SP1 со всеми последними обновлениями.
5. Пользовательские учетные записи. На вкладке Учетная запись в свойствах пользователя не стоит ни одна галочка.
6. По данным RSOP политика применяется на клиентских машинах. Берем результаты secpol.msc на локальной машине:

Изменить их нельзя, так как прикручены GPO.

А теперь сказка:
1. Создаем нового пользователя
2. Логинимся под ним
3. нажимаем alt+ctrl+del
4. Далее сменить пароль
5. Далее все по стандарту
6. О чудо! Пароль изменен. И казалось бы нет проблемы. НО!
7. При попытки еще раз изменить пароль через alt+ctrl+del нам выпадает такое сообщение: "Не удается обновить пароль. Введенный пароль не обеспечивает требований домена к длине пароля, его сложности или истории обновлений"
8. И нет разницы администратор ли ты или нет, в том числе администратор домена. Пароль пользователя меняется исключительно на DC с помощью изменения пароля в контекстном меню учетки пользователя, причем здесь его никаких проблем не возникает.

Прошу помощи в решении данной задачи, если нужны еще исходные данные, напишу.
Благодарю заранее.

Не стоило этого делать т.к. кроме настроек пароля там еще много чаво есть, а по скрину смотрю что только настройки паролей. И кстати чем Вам не угодила Default политика??

Сморите рисунок. Там куча других еще настроек и я думаю они тоже могут повлиять.

Кстати в самой учетной записи пользователя можно делать настройки связанные с паролем. Гляньте в AD.

Я понимаю что там еще куча настроек. Также я понимаю, что у нас в GPO еще 89 политик кроме PasswordOptions. Я показал только то, что касается паролей. А вы попробуйте в Default политику запихать еще около 1000 параметров и все это гибко раздавать чуть ли не каждому юзеру свое, а потом скажите чем мне не угодила default политика. )))

Так и я про тоже. Для этого и удалена дефолтная политика, чтоб сделать индивидуальные.

Ну не суть дело в этом. Прошу помощи по паролям. А как рулить политиками я сам разберусь.

А новый-то пароль не является повторением предыдущего?

Нет, не является. И никогда не было такого.

Разобрался. С политикой у меня все верно. И удаленная дефолтная политика домена здесь вообще роли никакой не играет. А ошибка была в том, что на DC была другая политика паролей. И не важно какая у вас политика для рабочих станций, они (рабочие станции) все равно возьмут именно ту политику, которая применяется на DC.
Решение: поменял политику DefaultDomainController аналогично PasswordOptions и все заработало. Думаю можно было создать и отдельную политику паролей, которая бы применялась только на DC.