ydad
Да , странно. Проверил у себя - политики в отношении паролей для локальной политики контроллера домена применяются исходя из политики безопасности домена, а не политики безопасности контроллера домена. С чего бы это ? Будем думать.

Есть тема для размышлений.

XPurpleполитики в отношении паролей для локальной политики контроллера домена применяются исходя из политики безопасности домена
В отношении ПАРОЛЕЙ так и должно быть.

В отношении ПАРОЛЕЙ так и должно быть.
Даже если это и так, то ydad от этого не легче.
У него на сервере не применяется политика не из политики безопасности контроллера домена, не из безопасности домена.
p.s. Наворотил этот Microsoft, наверное сам уже не помнит, какая политика следует за какой.

О разных политиках паролей для групп в домене: To establish different requirements for a specific set of users, you must create a new domain for their accounts.
Отсюда (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/activedirectory/stepbystep/strngpw.mspx)

Попалась на глаза статья "Account and local policies" http://technet2.microsoft.com/WindowsServer/en/library/04d8f32b-8ec7-4176-9d09-29f8c062d2391033.mspx?mfr=true и понял (я надеюсь) логику программистов Microsoft.
Есть Account policies - политики учетных записей (доменных) и есть local policies (т.е. локальные политики), т.е. 2 вида учетных записей и управляться должны из 2-x мест.
Поэтому назначается данные политики в отношении паролей только из 2 мест: из локальной политики и из доменной политики (т.е. из политики безопасности домена ), которая назначает права на доменные учетные записи (т.е. Account) и имеет больший приоритет, чем локальная политика. Но последнее :это так , к слову.
Примерно так рассуждали, я думаю, программисты из Microsoft.
Надеюсь никого не запутал.
Добавлено.
Вот есть статья неплохая на эту тему, но необясняющая (как мне показалось) явно, почему не применяются политики из DC GPO на локальную политику DC в отношении Account policies
http://www.osp.ru/text/302/176405/
Если кто-то что-то увидит,что я не увидел, отпишите, откройте глаза страждущему.

Проблема разрешилась следующим образом:
снес полностью Active Directory, после чего получил доступ к редактированию локальных политик, и в них выставил все что нужно. После этого снова поставил AD, в его доменных политиках снова поставил все необходимое и все заработало как полагается!
Как бы там не должны были распределяться преоритеты, а глюков в Windows все равно хватает...

ydad
Классный метод решения проблемы! Все дело в hands.dll