Имеется контроллер домена на WS 2012 Datacentr, клиенты на Win 7 и Win 8.
Меняю через групповую политику требования к сложности пароля:
Password must meet complexity requirements - Disabled
Minimum password length - 3
Minimum password age - 0
Maximum password age - 180
Enforce password history - 0

На клиенте проверяю применение политики через RSoP, вижу, что изменения вступили в силу.
Пытаюсь изменить пароль, допустим на 12345, но получаю предупреждение, что пароль не соответствует минимальным требованиям. При этом, изменить на пароль с требованием сложности по умолчанию дает.

В чем может быть проблема?

Stelth19, проверяйте область применения политики

А вообще, существует достаточно гибкий механизм дифференциации политик паролей - линк (http://amaksimov.wordpress.com/2011/01/17/ad-ds-windows-server-2008-gpo-create-password-settings-objects-psos/)

astomper7 - спасибо, что откликнулись...

Stelth19, проверяйте область применения политики »
Редактирую default domain policy. Вижу, что на клиенте политика применяется, но по какой причине не могу поставить пароль, соответствующий установленной политики, понять не могу.

А вообще, существует достаточно гибкий механизм дифференциации политик паролей - линк »
Статья познавательная, и вероятно в будущем может полезна, но на данный момент дифференциации политик паролей не нужна, да и хочется понять, что у меня не так.

Может для выяснения причины нужна еще какая-то информация от меня?

з.ы. опыта работы с политиками пока мало, прошу не пинать больно, если я где-то что то не правильно сформулировал.

В чем может быть проблема? »
Может быть глупое уточнение, но клиент был перезагружен после изменения политик? А с другими клиентами как дела?

но по какой причине не могу поставить пароль, соответствующий установленной политики, понять не могу »

gpupdate /force на клиенте, либо перезагрузка, хотя редактировать дефолтную доменную политику лучше не надо. Проверьте еще раз - к тому ли OU прилинкован gpo с паролями.

Редактирую default domain policy. »
Необходимо редактировать политику Default Domain Controllers Policy.

Редактирую default domain policy. »
Необходимо редактировать политику Default Domain Controllers Policy. »

???...

Может быть глупое уточнение, но клиент был перезагружен после изменения политик? А с другими клиентами как дела? »
А зачем перегружать клиента? Был сделан gpupdate /force, и как вы, надеюсь, прочитали, политики у меня применились, что видно из консоли RSoP на клиенте.

хотя редактировать дефолтную доменную политику лучше не надо. Проверьте еще раз - к тому ли OU прилинкован gpo с паролями »
Как раз в этом случае и рекомендуют редактировать дефолтную доменную политику, хотя для подстраховки я создал еще одну с теми же настройками и специально прилинковал ее к той OU, где находятся клиенты.

Необходимо редактировать политику Default Domain Controllers Policy »
Вы хотите сказать, что мне нужно применить политику к DC, а не к клиентам?

Уважаемые, еще раз прошу, обратите внимание - Политика применяется к клиенту, это видно из консоли RSoP на клиенте

А зачем перегружать клиента? »
Для уверенности. Это очень сложное действие?

Stelth19, проверьте в таком случае, что в фильтрах стоит - Прошедшие проверку, плюс проверьте, что редактируемая дефолтная доменная политика стоит в списке ГПО, прилинкованных к домену, на первом месте.

Цитата Stelth19:
Редактирую default domain policy. »
Необходимо редактировать политику Default Domain Controllers Policy. »
Если я правильно понимаю, это не так, но все же и ее привел в те же настройки - не помогло

Цитата Stelth19:
А зачем перегружать клиента? »
Для уверенности. Это очень сложное действие? »
Для успокоения души перезагрузил - не помогло (

Stelth19, проверьте в таком случае, что в фильтрах стоит - Прошедшие проверку, плюс проверьте, что редактируемая дефолтная доменная политика стоит в списке ГПО, прилинкованных к домену, на первом месте. »
Фильтр по умолчанию - Авторизованные пользователи. Если учесть, что настройки Password Policy находятся в Computer Configuration, то этот фильтр и не должен влиять на настройки клиента (Если я конечно правильно понимаю)
WMI фильтр не установлен
Редактируемая дефолтная политика прилинкована третьей (последней) по списку, если я правильно понимаю, она применятся последней и перекрывает настройки предыдущих двух. Хотя, эта же политика применяется и первой ко всем клиентам домена по умолчанию, даже если она специально не прилинкована. (Опять же поправьте меня, если я не прав)
Ну и в итоге, если бы был фильтр не дающий применяться политике или политика бы была не правильно прилинкована, то я бы не увидел на клиенте изменений нужной мне политики.

Да, еще добавлю, что на DC, при попытке изменить пароль учетки клиента через Reset Password, мне так же не удается задать пароль отличающийся по сложности по дефолту

проверьте, что редактируемая дефолтная доменная политика стоит в списке ГПО, прилинкованных к домену, на первом месте. »

Если нет, то переместите, потом gpupdate /force

первой ко всем клиентам домена по умолчанию »

Первой применяется local policy, потом site policy

Если я правильно понимаю, это не так, но все же и ее привел в те же настройки - не помогло »
Да я неправильно написал, правильно политика паролей должна задаваться на уровне домена и обязательно применяться к OU Domain Controllers - это правило было верно до появления AD DS Fine-Grained Password. Смотрите свои настройки так как политика Fine-Grained Password настроенная на уровне домена перезапишет все Ваши политики паролей заданные через Default Domain Policy. Посмотрите не применяется ли у Вас к вашим пользователям политика Fine-Grained Password командой:
dsget user "CN=username,CN=userOU,DC=contoso,DC=com" -effectivepso .

Цитата astomper7:
проверьте, что редактируемая дефолтная доменная политика стоит в списке ГПО, прилинкованных к домену, на первом месте. »
Если нет, то переместите, потом gpupdate /force »
Переместил - без результата

Цитата Stelth19:
первой ко всем клиентам домена по умолчанию »
Первой применяется local policy, потом site policy »
local policy - применяется ко всем компьютерам домена??? Или я все же чего то не понимаю, или эта политика локальная, т.е. применяется только к ПК, на котором расположена.
site policy - это где такая политика в 2012?


И все таки, чего я не понимаю, на клиенте применяется политика, но по каким то причинам она не работает. Как такое может быть? Я не увидел ни одного комментария именно по этому поводу.

dsget user "CN=username,CN=userOU,DC=contoso,DC=com" -effectivepso »
Результат команды - dsget succeeded. Т.е. политика Fine-Grained Password, я так понял, не применяется.

Покажите скрин с вкладкой Область дефолтной доменной политики. и результат gpresult /v покажите

Результат команды - dsget succeeded. »
Скрин выполнения команды покажите.

Покажите скрин с вкладкой Область дефолтной доменной политики. и результат gpresult /v покажите »
Скрин выполнения команды покажите »

Прикрепил

Stelth19, зачем вы прилинковываете DDP к OU. Проще говоря, в Location не должно быть никаких OU - только ваш домен Lab-Petr.net