политика паролей: не понимаю, почему не работает
 

Доброго дня.
Есть домен 2008 R2. Всегда думал, что политика паролей - это просто: создал политику, назначил настройки, применил к OU, и назначал политику "принудительной". Сделал:

но всё равно ругается на сложность пароля при попытке смены пароля на клиенте 2012 R2. rsop с него.
Более того, если вводить при условии сложности - не даёт сменить.
А дальше ещё интереснее: отключил политику - и даже с политикой по умолчанию не могу поменять пароль даже с выполнением требований.
Что не так?

и второй вопрос:
можно ли с 2012 R2 настроить PSO через AD AC, чтобы он работал в 2008 R2, или нужно обязательно иметь домен 2012 R2 и соответствующий уровень домена?
Спасибо!

Petya V4sechkin, я читал про PSO. но я хочу с помощью GPO переопределить политику паролей. чтобы была одна для всех. когда-то давно получалось это, а сейчас не хочет.
Ведь я ещё установил значение - принудительно, т.е. она перезаписывает DDP.

сейчас сам проверю PSO через AD AC в 2012 R2...

Так "применил к OU" или "одна для всех"?

для всех в этой OU. но в других OU у меня вообще нет пользователей и компьютеров.
Я применял и к домену целиком - не хочет работать (

Правильно ли я понимаю, что политика паролей через GPO - только для всего домена, а PSO - для отдельных OU ?

Групповая политика паролей - действительно для всего домена, нет смысла привязывать к какому-то OU, привязывать нужно к домену, PSO - да, гранулярная политика для отдельных OU, об этом Дмитрий Буланов рассказывал в тренинге по групповым политикам, но по вопросу приоритета - не могу сказать (т.е. если задана политика паролей для домена и отдельно PSO для OU, что будет применяться к OU), нужно тестировать.

тогда почему я переопределил политики DDP в новой политике паролей, применил ко всему домену - не работает (

более того, с настройками в DDP - тоже не могу поменять пароль.
наверное это связанно с минимальным временем "жизни пароля" = 1 день. Но и этот параметр я переопределил.

Не совсем понял, у вас параметры паролей и блокировки заданы и DDP и в еще одном GPO? Если так, то стоит я думаю отвязать недефолтный GPO или вообще удалить и попробовать без него. Были бы полезны "Результаты групповой политики", и в rsop не указано ли что такая-то политика не применилась из-за приоритета? пощелкайте по параметрам в rsop.

да. с помощью отдельной GPO переопределил некоторые параметры - см. скрин сп.
мне он нужен, для изменения политики паролей. А изменять DDP только по этому поводу - никакого желания нет.

Опять же судя по информации поданой Булановым (он Microsoft MVP: Group Policy, MC ITP), политика паролей - один из немногих случаев когда стоит править именно DDP.

nokogerra, я не знаю кто такой Буланов, у меня нет сертификатов MS, но править DDP и DDCP я буду только в крайнем случае. DDP\DDCP - этот тот самый случай, когда следует применить правило: работает - не трогай.
А так же знаю, что MS не просто так дал возможность управлять политикой паролей через отдельную GPO. Да и раньше то работало на раз-два-три...