Здравствуйте.
Есть домен под управлением Windows Server 2008R2.
Изначально была настроена отдельная GPO для паролей и прилинкована к корню домена. В ней, среди прочего, было указано - минимум 8 знаков, минимум 7 дней и пароль должен быть сложным. Затем политика была зачищена (все параметры в разделе "Политика паролей" выставлены в "не определено") и создан объект Password Settings Object. В PSO прописано минимум 8 знаков, минимум 1 день и пароль должен быть сложным. Данная PSO к пользователю применяется успешно (параметр msDS-ResultantPSO для тестового пользователя содержит имя созданной PSO).
Почему при смене пароля система ругается среди прочего на то, что пароль не должен был меняться в течении последних 7 дней, если в PSO прописан 1 день?
Более того - если я в PSO меняю минимальную длину пароля на 2 символа, то при попытке сменить пароль на 123 система выбрасывает ту же самую плашку про 8 знаков, но позволяет сменить пароль на 1@q. Или это какая-то стандартная плашка и данные она берет не из привязанной к пользователю PSO?