Приветствую!
Решил подразобраться с доменом. КД на Server 2012 R2.
Задача элементарная - ограничить количество попыток ввода пароля при входе через RDP на контроллер домена.
Делаю так:
gpmc.msc, затем настраиваю:
http://i76.fastpic.ru/big/2015/1214/3b/e5b320c841ee55d0ffa38d196ef3f73b.jpg
Затем cmd -> gpupdate /force

Пробую зайти через RDP на контроллер домена, ввожу 5 раз неправильный пароль, затем ввожу правильный пароль и сразу же попадаю на рабочий стол сервера, т.е. учетка не блокируется.

gpresult /r показывает, что политика применяется.:
Примененные объекты групповой политики
---------------------------------------
Default Domain Controllers Policy
Default Domain Policy
Local Group Policy

Пробовал дублировать настройки в Default Domain Policy, толку 0

1. Сделать настройки в Default Domain Policy
2. На контроллере выполнить GPUpdate
3. Проверяем, получаем на выходе:
131927

4. Данное правило не распространяется на встроенного администратора. Чтобы блокировать и его тоже, гуглим PASSPROP.exe

4. Данное правило не распространяется на встроенного администратора. Чтобы блокировать и его тоже, гуглим PASSPROP.exe »
Ясно, как раз со встроенным админом я это и пытался провернуть

P.S. Погуглил про PASSPROP.exe. Я так понимаю на 2012 Server его не существует. Прямо таки замкнутый круг, т.е. выходит встроенную учетку администратора контроллера домена не никак защитить от перебора пароля?

Политика паролей применяется только из политик, прилинкованных на корень домена. Из других OU политики паролей действовать не будут.
Для более детальной настройки можно использовать Fine-Graned passwrod policies (https://technet.microsoft.com/ru-ru/library/cc770394(v=ws.10).aspx).

Passprop работает на всех NT, в том числе на 2012, просто там какие риски — в случае блокировки администратор не может зайти на контроллер даже интерактивно. Раньше мог.