Здравствуйте,
в общем так:
1. На уровне домена (W2K3) привязана политика Default Domain Policy
2. На уровне OU Domain Controllers привязана политика Default Domain Controller Policy
3. Default Domain Policy распространяется на все ПК в домене.
4. Default Domain Controller Policy распространяется на контроллеры домена.

Порядок применения политик д.б. следующим: сначала на уровне домена, потом на уровне OU (не принимая во внимания политику сайта и вложенных OU)
Следовательно параметры из Default Domain Controller Policy должны переопределять параметры Default Domain Policy
На уровне Default Domain Policy стоит минимальная длина пароля = 6, а на уровне Default Domain Controller Policy = 5

т.е. реально для локальных учетных записей ПК в домене должно получаться 6 (и это работает), а для доменных учетных записей должно выходить 5.

Но когда пытаешься установить пароль для пользователя в домене = 5-ти - это не выходит, а на 6-ти все ОК!

Я ничего не менял в привязках и настройках политик (отключение наследования, перекрывание ...) и новые не создавал. Пункты 1 и 2 это настройки на DC по умолчанию. п 3 и 4 это я так понимаю.

суть идеи такова: если Default Domain Policy работает по умолчанию на всех ПК в домене, то я определяю, что пароль локальной учетной записи пользователя на ПК не может быть меньше 6 символов.
так как доменные пользователи д.б. защищены сильнее, я хочу определить, что пользователи создаваемые в домене имели пароль 8 символов.

Отсюда и весь этот эксперимент. А цифиры 5 и 6 выбраны для "чистоты" эксперимента и проверки срабатывания политик

Для меня ситуация не понятная - ваши воображения? спасибо....

Политика безопасности (в т.ч. и длина пароля) - одна для всех членов домена (Default Domain Policy). Все остальные политики будут переопределять только локальные политики компьютеров/серверов.

ars_zhava
Доменная политика не влияет на локальные учетные записи - это раз. Она влияет лишь на входящих в ДОМЕН пользователей. Если Вы воспользуетесь GPMC, то заметите, что сначала применяется локальная политика, затем OU, затем доменная. Для домен-контроллеров последней применяется Default domain controller policy, и, соответственно, если нет галки Enforced, то доменная политика перекрывает локальную. Т.к. на домен-контроллерах локальных пользователей нет, то в отношении паролей применяется доменная политика.

"Доменная политика не влияет на локальные учетные записи" - получается, что определив параметр "Минимальная длина пароля" = 6-ти в политике Defaut Domain Policy, я не получу эту настройку на клиентском ПК-члене домена? Здесь мне кажется monkkey не прав!

Что касается контрллеров домена, в том то и вопрос: как расценивать политику Default Domain Controller Policy: как локальную (для DC) или как политику OU

Что касается контрллеров домена, в том то и вопрос: как расценивать политику Default Domain Controller Policy: как локальную (для DC) или как политику OU
Политика безопасности устанавливается по своим правилам:
A domain controller always obtains the account policy from the Default Domain Policy GPO, even if there is a different account policy applied to the OU that contains the domain controller.

А можно ссылку на документ, откуда взята фраза: "A domain controller always obtains the account policy from the Default Domain Policy GPO, even if there is a different account policy applied to the OU that contains the domain controller."?
+ тогда все становится на свои места, и пример с переопределеним параметров из Account Policy был не самй лучший + получается, что действиетельно длина паролей в домене не зависимо от места хранения уч. записей (локально на машине или в домене) действительно д.б. одна и разделить ее нельзя!

ars_zhava
1 (http://www.google.ru/search?hl=ru&q=A+domain+controller+always+obtains+the+account+policy+from+the+Default+Domain+Policy+GPO&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=)
Войдите в оснастку управления компьютером и посмотрите, какие локальные учетные записи существуют на компьютере.
(Не путайте только доменных пользователей, локально работающих, и локальных)

статья на сайте
Консоль управления групповой политикой для Windows Server 2003 (http://www.oszone.net/display.php?id=145)

Всем огромное спасибо, всё понятно

Подскажите пожалуйста как влияет на применение групповых политик опция Enforced для объекта групповой политики и опция Block Inheritance для организационной единицы?

Опция Enforced распространяет групповую политику на OU и все вложенные OU, вне зависимости от имеющегося на них параметра Block Inheritance, который как раз и создан для того, чтобы блокировать всё вышестоящие (ранее применяемые) групповые политики.

Опция Enforced распространяет групповую политику на OU и все вложенные OU, вне зависимости от имеющегося на них параметра Block Inheritance, который как раз и создан для того, чтобы блокировать всё вышестоящие (ранее применяемые) групповые политики. »

Вариант 1.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU.
4. Изменяю параметр X на состояние Enabled. Включаю на дочерней OU опцию Block Inheritance.

В результате к объектам в дочерней OU параметр X будет применен с состоянием Disabled.

Вариант 2.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Не включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU.
4. Изменяю параметр X на состояние Enabled. Включаю на дочерней OU опцию Block Inheritance.

В результате к объектам в дочерней OU параметр X будет применен с состоянием Enabled.

Правильно?

Теперь еще два варианта:

Вариант 3.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Не включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU.
4. Изменяю параметр X на состояние Enabled. Не включаю на дочерней OU опцию Block Inheritance.

С каким состоянием применится параметр X для объектов дочерней OU?

Вариант 4.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU (OU1).
4. Изменяю параметр X на состояние Enabled. Включаю на дочерней GPO опцию Enforced .
5. Внутри дочерней OU создаю еще одну OU (OU2).

С каким состоянием применится параметр X для объектов OU2?

Если Вы воспользуетесь GPMC, то заметите, что сначала применяется локальная политика, затем OU, затем доменная. »
Вроде и модератор, а такую ерунду несет. Это не верно, т.к
The simple rule to remember is that the last GPO applied will overwrite any settings applied earlier. And the GPOs closest to the client location in the directory structure will be applied last. The order goes as follows:
Local
Site
Domain
Organizational Unit
http://blogs.technet.com/b/musings_of_a_technical_tam/archive/2012/02/15/understanding-the-structure-of-a-group-policy-object-part-2.aspx